Las extensiones de navegador son una pesadilla de privacidad. Deja de usar tantos de ellos.
Las extensiones de navegador son mucho más peligrosas de lo que la mayoría de las personas se dan cuenta. Estas pequeñas herramientas a menudo tienen acceso a todo lo que hace en línea, por lo que pueden capturar sus contraseñas, rastrear su navegación web, insertar anuncios en las páginas web que visita, y más. Las extensiones populares del navegador a menudo se venden a compañías con sombra o son secuestradas, y las actualizaciones automáticas pueden convertirlas en malware.
Hemos escrito sobre cómo las extensiones de tu navegador te están espiando en el pasado, pero este problema no ha mejorado. Todavía hay un flujo constante de extensiones que van mal.
¿Por qué las extensiones de navegador son tan peligrosas?
Las extensiones del navegador se ejecutan en su navegador web y, a menudo, requieren la capacidad de leer o cambiar todo lo que se encuentra en las páginas web que visita..
Si una extensión tiene acceso a todas las páginas web que visita, puede hacer prácticamente cualquier cosa. Podría funcionar como un registrador de teclas para capturar sus contraseñas y detalles de la tarjeta de crédito, insertar anuncios en las páginas que ve, redirigir el tráfico de búsqueda a otra parte, rastrear todo lo que hace en línea o todas estas cosas. Si una extensión necesita escanear sus recibos u otras cosas pequeñas, probablemente tenga permiso para escanear su correo electrónico para todo-que es extremadamente peligroso.
Eso no quiere decir que cada extensión. es haciendo estas cosas, pero puede-y eso debería hacerte muy, muy cauteloso.
Los navegadores web modernos como Google Chrome y Microsoft Edge tienen un sistema de permisos para extensiones, pero muchas extensiones requieren acceso a todo para que puedan funcionar correctamente. Sin embargo, incluso una extensión que solo requiere acceso a un sitio web podría ser peligrosa. Por ejemplo, una extensión que modifica Google.com de alguna manera requerirá acceso a todo en Google.com y, por lo tanto, tendrá acceso a su cuenta de Google, incluido su correo electrónico.
Estas no son solo pequeñas herramientas lindas e inofensivas. Son pequeños programas con un gran nivel de acceso a su navegador web, y eso los hace peligrosos. Incluso una extensión que solo hace una pequeña parte de las páginas web que visita puede requerir acceso a todo lo que hace en su navegador web.
Cómo las extensiones seguras pueden transformarse en malware
Los navegadores web modernos como Google Chrome actualizan automáticamente las extensiones de su navegador instalado. Si una extensión requiere nuevos permisos, se desactivará temporalmente hasta que usted lo permita. Pero, de lo contrario, la nueva versión de la extensión se ejecutará con todos los mismos permisos que la versión anterior. Esto lleva a problemas.
En agosto de 2017, la muy popular y ampliamente recomendada extensión Web Developer para Chrome fue secuestrada. El desarrollador cayó en un ataque de phishing y el atacante subió una nueva versión de la extensión que insertó más anuncios en las páginas web. Más de un millón de personas que confiaron en el desarrollador de esta popular extensión terminaron recibiendo la extensión infectada. Como esta es una extensión para los desarrolladores web, el ataque podría haber sido mucho peor: no parece que la extensión infectada funcionara como un keylogger, por ejemplo..
En muchas otras situaciones, alguien desarrolla una extensión que gana una gran cantidad de usuarios, pero que no necesariamente genera ningún dinero. El desarrollador es contactado por una compañía que pagará una gran cantidad de dinero para comprar la extensión. Si el desarrollador acepta la compra, la nueva compañía modifica la extensión para insertar anuncios y seguimiento, la carga en Chrome Web Store como una actualización, y todos los usuarios existentes ahora están usando la extensión de la nueva compañía, sin advertencia..
Esto le sucedió a Particle for YouTube, una extensión popular para personalizar YouTube, en julio de 2017. Lo mismo ha sucedido con muchas otras extensiones en el pasado. Los desarrolladores de extensiones de Chrome han afirmado que reciben constantemente ofertas para comprar sus extensiones. Los desarrolladores de la extensión Honey con más de 700,000 usuarios una vez ejecutaron un "Ask Me Anything" en Reddit, detallando el tipo de ofertas que a menudo reciben.
Además del secuestro y la venta de extensiones, también es posible que una extensión sea solo una mala noticia y que lo rastree en secreto cuando lo instale en primer lugar..
Chrome ha estado bajo ataque debido a su popularidad, pero este problema afecta a todos los navegadores. Se puede decir que Firefox está incluso más en riesgo, ya que no usa un sistema de permisos en absoluto: todas las extensiones que instala tienen acceso completo a todo..
Cómo minimizar el riesgo
A continuación le indicamos cómo mantenerse a salvo: use la menor cantidad de extensiones posible. Si no le das mucho uso a una extensión, desinstálala. Trate de reducir su lista de extensiones instaladas a lo esencial para minimizar la posibilidad de que una de sus extensiones instaladas se vuelva mala.
También es importante utilizar solo extensiones de compañías en las que confía. Por ejemplo, una extensión para personalizar YouTube creada por una persona al azar de la que nunca has oído hablar es un candidato ideal para convertirse en malware. Sin embargo, el Notificador oficial de Gmail creado por Google, la extensión OneNote para tomar notas creada por Microsoft o la extensión del administrador de contraseñas LastPass creada por LastPass casi seguramente no se venderán a una compañía sospechosa por unos pocos miles de dólares.
También debe prestar atención a los permisos que requieren las extensiones, cuando sea posible. Por ejemplo, una extensión que solo pretende modificar un sitio web solo debería tener acceso a ese sitio web. Sin embargo, muchas extensiones necesitan acceso a todo, o acceso a un sitio web muy sensible que desee mantener seguro (como su correo electrónico). Los permisos son una buena idea, pero no son muy útiles cuando la mayoría de las cosas necesitan acceso a todo.
Es una buena línea para caminar, por supuesto. En el pasado, podríamos haber dicho que la extensión del desarrollador web era segura porque era legítima. Sin embargo, el desarrollador cayó en un ataque de phishing y la extensión se volvió maliciosa. Es un buen recordatorio de que, incluso si pudiera confiar en alguien para que no venda su extensión a una compañía sospechosa, está confiando en esa persona para su seguridad. Si esa persona se desliza y permite que su cuenta sea secuestrada, terminará lidiando con las consecuencias, y podría ser mucho peor que lo que sucedió con la extensión Web Developer..