{"id":31684,"date":"2025-12-03T12:54:57","date_gmt":"2025-12-03T10:54:57","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31684"},"modified":"2025-12-03T12:54:57","modified_gmt":"2025-12-03T10:54:57","slug":"chrome-extension-security-validation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/chrome-extension-security-validation\/31684\/","title":{"rendered":"Extensiones de navegador: no conf\u00edes nunca, verifica siempre"},"content":{"rendered":"

Las extensiones de navegador maliciosas siguen siendo un importante punto ciego para los equipos de ciberseguridad de muchas organizaciones. Se han convertido en un elemento permanente del arsenal de los ciberdelincuentes para el robo de sesiones y cuentas, el espionaje, el encubrimiento de otras actividades delictivas, el fraude publicitario y el robo de criptomonedas. Los incidentes de gran repercusi\u00f3n relacionados con extensiones maliciosas son frecuentes, desde la vulneraci\u00f3n de la extensi\u00f3n de seguridad Cyberhaven<\/a> hasta la publicaci\u00f3n masiva de extensiones de infostealer<\/a>.<\/p>\n

Las extensiones resultan atractivas para los atacantes porque conceden permisos y un amplio acceso a la informaci\u00f3n dentro de las aplicaciones SaaS y los sitios web. Como no son aplicaciones independientes, a menudo eluden las pol\u00edticas de seguridad y las herramientas de control est\u00e1ndar.<\/p>\n

El equipo de seguridad de toda empresa debe abordar este problema de manera sistem\u00e1tica. La administraci\u00f3n de las extensiones de navegador requiere una combinaci\u00f3n de herramientas de administraci\u00f3n de pol\u00edticas y servicios o utilidades especializados en el an\u00e1lisis de extensiones. Este tema fue central en la charla de Athanasios Giatsos en el Security Analyst Summit de este a\u00f1o<\/a>.<\/p>\n

Capacidades de amenaza de las extensiones web e innovaciones en Manifest\u00a0V3<\/h2>\n

La extensi\u00f3n web de un navegador tiene amplio acceso a la informaci\u00f3n de la p\u00e1gina web: puede leer y modificar cualquier dato disponible para el usuario a trav\u00e9s de la aplicaci\u00f3n web, incluidos los registros financieros o m\u00e9dicos. Las extensiones tambi\u00e9n suelen obtener acceso a datos importantes que los usuarios no suelen ver: cookies, almacenamiento local y configuraci\u00f3n del proxy. Esto simplifica enormemente el secuestro de sesiones. A veces, las capacidades de las extensiones van mucho m\u00e1s all\u00e1 de las p\u00e1ginas web: pueden acceder a la ubicaci\u00f3n del usuario, las descargas del navegador, las capturas de pantalla del escritorio, el contenido del portapapeles y las notificaciones del navegador.<\/p>\n

En la arquitectura de extensi\u00f3n previamente dominante, las extensiones de Manifest\u00a0V2, que funcionaron en Chrome, Edge, Opera, Vivaldi, Firefox y Safari, son pr\u00e1cticamente id\u00e9nticas a las aplicaciones completas en t\u00e9rminos de capacidades. Pueden ejecutar continuamente scripts en segundo plano, mantener abiertas las p\u00e1ginas web invisibles, cargar y ejecutar scripts desde sitios web externos, y comunicarse con sitios arbitrarios para recuperar o enviar datos.<\/p>\n

A fin de frenar posibles abusos, as\u00ed como para limitar los bloqueadores de anuncios<\/a>, Google ha migrado Chromium y Chrome a Manifest\u00a0V3. Esta actualizaci\u00f3n ha limitado o bloqueado muchas funciones de las extensiones. Las extensiones ahora deben declarar todos los sitios con los que se comunican, tienen prohibido ejecutar c\u00f3digo de terceros cargado din\u00e1micamente y deben utilizar microservicios de corta duraci\u00f3n en lugar de scripts persistentes en segundo plano. Aunque algunos tipos de ataques son ahora m\u00e1s dif\u00edciles de ejecutar debido a la nueva arquitectura, los atacantes pueden reescribir f\u00e1cilmente c\u00f3digo malicioso para conservar las funciones m\u00e1s necesarias, pero sacrificando el sigilo. Por lo tanto, depender \u00fanicamente de los navegadores y las extensiones que operan bajo Manifest\u00a0V3 dentro de una organizaci\u00f3n simplifica la supervisi\u00f3n, pero no es una soluci\u00f3n.<\/p>\n

Adem\u00e1s, V3 no resuelve el problema principal de las extensiones: generalmente se descargan de las tiendas de aplicaciones oficiales utilizando dominios leg\u00edtimos de Google, Microsoft o Mozilla. Su actividad parece ser iniciada por el propio navegador, lo que hace que sea extremadamente dif\u00edcil distinguir las acciones realizadas por una extensi\u00f3n de las ejecutadas manualmente por el usuario.<\/p>\n

C\u00f3mo surgen las extensiones maliciosas<\/h2>\n

Bas\u00e1ndose en diversos incidentes p\u00fablicos, Athanasios Giatsos destaca varios escenarios en los que las extensiones maliciosas pueden mostrar su lado m\u00e1s desagradable:<\/p>\n