Un buen día John Tuckner decidió probar a ser malvado. Encontró una extensión de navegador llamada "Website Blocker" que podía comprar por 50 dólares y se hizo con ella. La extensión, que permite bloquear ciertos sitios web para que el usuario no se distraiga con ellas durante cierto tiempo, era especialmente interesante porque permitía reutilizarla para ataques de spam. Y entonces pasaron cosas.

Problema a la vista. En apenas unos días tenía el control de la extensión y podía hacer lo que deseara con ella. Modifícó el código, publicó la actualización y confirmó que las novedades habían llegado a todos los usuarios sin que se enteraran. Y entonces contó lo que pasaba: él es el fundador de la empresa de ciberseguridad Secure Annex, y quiso confirmar sus temores: hay un gran peligro con las extensiones: cualquiera puede comprarlas, modificarlas y reaprovecharlas para todo tipo de propósitos. Google revisa las modificaciones, pero "no está nada claro con qué nivel de escrutinio", explicaba Tuckner.

Otro caso reciente. A finales de enero el creador de la extensión Browser Boost Extra Tools for Chrome vendió este desarrollo y la transfirió a su nuevo propietario. Sus 30.000 usuarios pronto quedaron expuestos al nuevo código, que les redirigía dinámicamente a sitios web que el nuevo propietario decidía de forma unilateral.

Yo no he sido. Uno de los usuarios de la extensión avisó del problema en el repositorio de GitHub de la extensión y analizó el código avisando del peligro de malware que podía llegar debido al nuevo propietario. El creador, n0m1111, explicó que había vendido la extensión hacía meses y ya no era el responsable del código.

Jugando con los permisos. Estas extensiones permiten a menudo modificar permisos de todo tipo de parámetros del navegador. Tuckner explicaba cómo en la extensión que compró se usaba un permiso llamado "declarativeNetRequest" que era muy amplio y permitía redirigir a los usuarios a sitios falsos de autenticación para robarles sus contraseñas. Otros permisos permitirían al propietario de una extensión sacar capturas de pantalla con información sensible o acceder a las cookies que guarda el navegador para robar también datos de las sesiones del navegador. Las posibilidades son múltiples y en Xataka ya hablamos hace pocos meses de cómo las extensiones se están convirtiendo en un método silencioso para infectar a los usuarios.

Un ataque reciente. En febrero el equipo de expertos de GitLab Threat Intelligence descubrieron un grupo de 16 extensiones de Chrome "utilizadas para inyectar código en navegadores para facilitar un fraude de publicidad y SEO". Entre todas ellas sumaban 3,2 millones de usuarios, y en GitLab confirmaron que las extensiones habían sido compradas y luego modificadas, lo que permitió evitar sospechas por parte de los usuarios y de la propia industria. Estos expertos notificaron a Google del problema, y la empresa las eliminó todas en enero de 2025.

Bloquear extensiones, la solución. Si quieres protegerte de estos problemas, la solución es bloquear la ejecución de extensiones en tu navegador, sobre todo en ordenadores que manejen datos sensibles como el del trabajo. Salvo que sean extensiones de confianza, este tipo de problemas puede llegar a provocar graves problemas de seguridad.

Cuidado con los permisos. Las extensiones del navegador pueden acabar siendo compradas, vendidas y reutilizadas sin aviso por parte de sus nuevos propietarios, como ha sido el caso. Eso plantea un problema serio para usuarios y empresas, que antes de instalar una extensión deberían prestar mucha atención a los permisos que piden estas extensiones para funcionar.

Qué dicen en Google. En Xataka nos hemos puesto en contacto con los responsables de Google y actualizaremos este artículo si recibimos nuevos datos sobre el tema. Sea como fuere, la empresa ofrece un documento de ayuda al respecto y ya indicó también en un artículo en su blog oficial cómo mantenerse seguro con el uso de extensiones en Google Chrome.

Imagen | Rubaitul Azad

