Por qué hay que tener cuidado con las extensiones de navegador

30 Ene 2018

Seguramente conoces las extensiones de navegador y son parte de tu vida. Estas extensiones añaden características útiles a los navegadores, pero al mismo tiempo, suponen amenazas a tu privacidad y a tu seguridad. Vamos a analizar qué pasa con las extensiones de navegador y cómo puedes reducir las posibilidades de que una de ellas se vuelva contra ti. Pero primero, ¿qué es una extensión de navegador?

¿Qué son las extensiones de navegador y por qué las necesitas?

Una extensión de navegador es un complemento que añade ciertas funcionalidades y características. Las extensiones pueden modificar la interfaz del usuario o añadir el servicio de algún sitio web a tu navegador.

Por ejemplo, algunas extensiones se usan para bloquear anuncios en los sitios web, traducir el texto de un idioma a otro o almacenar contenido de las páginas que visitas en blocs de notas como Evernote o Pocket. Hay miles de aplicaciones para mejorar la productividad, personalizar, comprar o jugar.

Casi todos los navegadores más populares tienen extensiones, como Chrome, Chromium, Safari, Opera, Internet Explorer y Edge. Hay muchas extensiones y algunas son muy útiles, por lo que la mayoría acabamos usando unas cuantas, a veces puede haber hasta una docena en una sola computadora. Pero las extensiones pueden ser tan útiles como peligrosas.

Qué tienen de malo las extensiones

Extensiones maliciosas

Primero, las extensiones pueden ser maliciosas. Esto sucede sobre todo con extensiones que provienen de sitios web de terceros, pero a veces el malware se filtra en tiendas oficiales, como es el caso de Android y Google Play.

Por ejemplo, unos investigadores de seguridad descubrieron cuatro extensiones en Chrome Web Store que parecían aplicaciones de notas inofensivas, pero generaban ingresos a sus creadores con anuncios de pago por click camuflados.

¿Cómo puede hacer eso una extensión? Bueno, para esto la extensión requiere permisos. El problema es que, de los navegadores más comunes, solo Google Chrome solicita al usuario estos permisos. El resto permite a las extensiones hacer todo lo que quieran por default y al usuario no le queda de otra.

En Chrome estos permisos existen, pero no funcionan. Incluso las extensiones más básicas necesitan permisos para leer y modificar los datos de cada página que visitas, lo que les da el poder de hacer lo que quieran con tus datos. Y si no les concedes ese permiso, no se instalan.

Ya hemos visto antes otras extensiones maliciosas, como las que usaban unos delincuentes para extender un malware en Facebook Messenger. Aquí encontrarás una publicación sobre el tema.

Malware en Facebook Messenger

Secuestro y compra de extensiones

Las extensiones de navegador son un objetivo muy interesante para los delincuentes porque muchas tienen bases de usuarios masivas y se actualizan de forma automática, lo que significa que, si un usuario tiene una extensión inofensiva descargada, puede actualizarse para hacerla maliciosa. Esta actualización se enviaría directamente al usuario sin notificación.

Un buen desarrollador no haría algo así, pero podrían secuestrar su cuenta y subir actualizaciones maliciosas a la tienda oficial. Esto es lo que pasó cuando unos delincuentes usaron phishing para acceder a las credenciales de los desarrolladores de la popular extensión Copyfish, un complemento de reconocimiento óptico de caracteres que se usó para emitir anuncios adicionales.

A veces, los desarrolladores reciben ofertas elevadas por sus extensiones. Es complicado ganar dinero con una extensión, por lo que los desarrolladores suelen aceptar estas transacciones sin pensarlo. Una vez que la empresa compra la extensión, puede añadirle funcionalidades maliciosas y enviar la actualización a los usuarios. Por ejemplo, este es el caso de Particle, una extensión muy popular para personalizar Youtube que compró otra empresa y la convirtió en adware.

Maliciosa no, pero sí peligrosa

Hasta las extensiones que no son maliciosas pueden ser peligrosas, porque la mayoría de las extensiones tienen la posibilidad de recopilar datos sobre los usuarios (recuerda el permiso de leer y modificar los datos de las páginas que visitas). Para ganarse la vida, algunos desarrolladores venden a terceros los datos anónimos que recopilan. Esto suele aparecer en el acuerdo de licencia de usuario final.

El problema es que a veces estos datos no son anónimos, lo que genera serios problemas de privacidad. Las partes que compran los datos pueden identificar a los usuarios. Esto le pasó a Web of Trust, una extensión muy famosa en su día para Chrome, Firefox, Internet Explorer, Opera, Safari y otros navegadores. La extensión se usó para puntuar páginas webs basadas en la opinión colectiva. Además, recopiló el historial completo de navegación de sus usuarios.

Una página web alemana afirmó que Web of Trust vendía los datos que recopilaba a terceros sin eliminar del todo la información personal, lo que supuso que Mozilla la eliminara de su tienda. Entonces, los creadores de la extensión la quitaron del resto tiendas de navegadores. Sin embargo, un mes después la extensión volvió. Web of Trust no es una extensión maliciosa, pero puede llegar a ser peligrosa si expone sus datos, las webs que visitan los usuarios y lo que hacen en ellas, a quien no debe verlos.

Cómo usar las extensiones de forma segura

A pesar de que las extensiones pueden ser peligrosas, algunas de ellas son muy útiles y por eso no querrás abandonarlas por completo. Yo sigo usando como una docena y sé que dos de ellas tienen el permiso que comentamos de leer y modificar.

Puede que sea más seguro no usarlas, pero no es lo mejor, así que necesitamos una forma de usar extensiones más o menos segura.

  • No instales muchas extensiones. No solo afectan al rendimiento de tu computadora, sino que también representan un posible ataque vector, por lo que reduce su número a cuantas te resulten útiles.
  • Instala las extensiones únicamente desde tiendas oficiales. Allí las someten a cierto escrutinio, con especialistas en seguridad que filtran las que son maliciosas.
  • Ponle atención a los permisos que requieren las extensiones. Si una extensión que ya está instalada en tu computadora solicita un nuevo permiso, es posible que algo esté mal. Alguien pudo haber comprado o secuestrado la extensión. Y antes de instalar cualquier extensión, siempre es buena idea echar un ojo a los permisos que requiere y considerar si están relacionados con la función de la aplicación. Si no encuentras una explicación lógica a los permisos, será mejor que no instales la extensión.
  • Usa una buena solución de seguridad. Kaspersky Internet Security puede detectar y neutralizar códigos maliciosos en las extensiones del navegador. Nuestras soluciones de antivirus usan una amplia base de datos de extensiones maliciosas que se actualizan con frecuencia. Encontramos nuevas extensiones maliciosas en Chrome casi todos los días.