Por qué debes tener cuidado con las extensiones de navegador

30 Ene 2018

Seguro que conoces las extensiones de navegador y ya forman parte de tu vida. Estas extensiones añaden características útiles a los navegadores, pero al mismo tiempo, suponen una amenaza para tu privacidad y tu seguridad. Analicemos qué sucede con las extensiones de navegador y cómo puedes reducir las posibilidades de que una de ellas se vuelva en tu contra. Pero primero, ¿qué es una extensión de navegador?

¿Qué son las extensiones de navegador y por qué las necesitas?

Una extensión de navegador es un complemento que añade ciertas funcionalidades y características. Las extensiones pueden modificar la interfaz del usuario o añadir el servicio de alguna web a tu navegador.

Por ejemplo, algunas extensiones se usan para bloquear anuncios en las páginas web, traducir el texto de un idioma a otro o almacenar contenido de las páginas que visitas en blocs de notas como Evernote o Pocket. Hay miles de aplicaciones para mejorar la productividad, personalizar, comprar o jugar.

Casi todos los navegadores más populares tienen extensiones, como Chrome, Chromium, Safari, Opera, Internet Explorer y Edge. Hay muchas extensiones y algunas son muy útiles, por lo que la mayoría acabamos usando unas cuantas. Pero las extensiones pueden ser tan útiles como peligrosas.

Qué tienen de malo las extensiones

Extensiones maliciosas

Primero, las extensiones pueden ser maliciosas. Esto sucede sobre todo con extensiones que provienen de sitios web de terceros, pero a veces el malware se cuela en tiendas oficiales, como es el caso de Android y Google Play.

Por ejemplo, unos investigadores de seguridad descubrieron cuatro extensiones en Chrome Web Store que parecían aplicaciones de notas inofensivas, pero generaban ingresos a sus creadores con anuncios de pago por clic camuflados.

¿Cómo puede hacer eso una extensión? Bueno, para ello, una extensión requiere permisos. El problema es que, de los navegadores más comunes, solo Google Chrome solicita al usuario estos permisos. El resto permite a las extensiones hacer todo lo que quieran por defecto y al usuario no le queda más remedio que aceptarlo.

En Chrome estos permisos existen, pero no funcionan. Incluso las extensiones más básicas necesitan permisos para leer y modificar los datos de cada página que visitas, lo que les da el poder de hacer lo que quieran con tus datos. Y si no les concedes ese permiso, no se instalan.

Ya hemos visto anteriormente otras extensiones maliciosas, como las que usaban unos delincuentes para extender un malware a través de Facebook Messenger. Aquí encontrarás una publicación sobre el tema.

Malware en Facebook Messenger

Secuestro y compra de extensiones

Las extensiones de navegador son un objetivo muy interesante para los delincuentes porque muchas tienen bases de usuarios masivas y se actualizan de forma automática, lo que significa que, si un usuario tiene una extensión inofensiva descargada, puede actualizarse para hacerla maliciosa. Esta actualización se enviaría directamente al usuario sin notificación.

Un buen desarrollador no haría algo así, pero podrían secuestrar su cuenta y subir actualizaciones maliciosas a la tienda oficial. Esto es lo que pasó cuando unos delincuentes usaron phishing para acceder a las credenciales de los desarrolladores de la popular extensión Copyfish, un complemento de reconocimiento óptico de caracteres que se usó para emitir anuncios adicionales.

A veces, los desarrolladores reciben ofertas elevadas por sus extensiones. Es complicado ganar dinero con una extensión, por lo que los desarrolladores suelen aceptar estas transacciones sin pensarlo. Una vez que la empresa ha comprado la extensión, puede añadirle funcionalidades maliciosas y enviar la actualización a los usuarios. Por ejemplo, este es el caso de Particle, una extensión muy popular para personalizar Youtube que compró otra empresa y la convirtió en adware.

Maliciosa no, pero sí peligrosa

Incluso las extensiones que no son maliciosas pueden ser peligrosas, porque la mayoría de las extensiones tienen la posibilidad de recopilar datos sobre los usuarios (recuerda el permiso de leer y modificar los datos de las páginas que visitas). Para ganarse la vida, algunos desarrolladores venden a terceros los datos anónimos que recopilan. Esto suele aparecer en el acuerdo de licencia de usuario final.

El problema es que a veces estos datos no son anónimos, lo que genera serios problemas de privacidad. Las partes que compran los datos pueden identificar a los usuarios. Esto le sucedió a Web of Trust, una extensión muy famosa en su día para Chrome, Firefox, Internet Explorer, Opera, Safari y otros navegadores. La extensión se usó para puntuar páginas webs basadas en la opinión colectiva. Además, recopiló el historial completo de navegación de sus usuarios.

Una página web alemana afirmó que Web of Trust vendía los datos que recopilaba a terceros sin eliminar del todo la información personal, lo que supuso que Mozilla la eliminara de su tienda. Entonces, los creadores de la extensión la quitaron del resto de tiendas de navegadores. Sin embargo, un mes después la extensión volvió. Web of Trust no es una extensión maliciosa, pero puede llegar a ser peligrosa si expone los datos de los usuarios, las webs que visitan y lo que hacen en ellas a alguien que se supone que no debe verlo.

Cómo usar las extensiones de forma segura

A pesar de que las extensiones pueden ser peligrosas, algunas de ellas son muy útiles y por eso no querrás abandonarlas por completo. Yo sigo usando una docena y sé que dos de ellas tienen el permiso que ya hemos comentado de leer y modificar.

Puede que sea más seguro no usarlas, pero no es lo mejor, así que necesitamos una forma de usar extensiones más o menos segura.

  • No instales muchas extensiones. No solo afectan al rendimiento de tu ordenador, sino que también representan un posible vector de ataque, por lo que reduce su número a unas cuantas que te resulten útiles.
  • Instala las extensiones únicamente desde tiendas oficiales. Allí las someten a cierto escrutinio, con especialistas en seguridad que filtran las que son maliciosas.
  • Presta atención a los permisos que requieren las extensiones. Si una extensión que ya esté instalada en tu ordenador solicita un nuevo permiso, es posible que algo vaya mal. Alguien puede haber comprado o secuestrado la extensión. Y antes de instalar cualquier extensión, siempre es buena idea echar un ojo a los permisos que requiere y considerar si están relacionados con la función de la aplicación. Si no encuentras una explicación lógica a los permisos, será mejor que no instales la extensión.
  • Usa una buena solución de seguridad. Kaspersky Internet Security puede detectar y neutralizar códigos maliciosos en las extensiones del navegador. Nuestras soluciones de antivirus usan una amplia base de datos de extensiones maliciosas que se actualizan con frecuencia. Encontramos nuevas extensiones maliciosas en Chrome casi todos los días.