Barracuda full logo

El riesgo oculto de ciberseguridad que acecha en tus extensiones del navegador

Temas:
25 feb 2026
|
Tony Burgess

Cómo los complementos cotidianos pueden comprometer su seguridad sin que lo sepa

Conclusiones

  • Las extensiones del navegador se ejecutan con un acceso profundo dentro del navegador, lo que las convierte en un objetivo atractivo para los ciberdelincuentes.
  • Muchos ataques recientes involucran compromisos de la cadena de suministro, donde extensiones de confianza se vuelven maliciosas después de meses o años de uso normal.
  • Las extensiones maliciosas se han utilizado para el espionaje, el robo de datos, el secuestro de navegadores, el fraude y el espionaje corporativo, a menudo a gran escala.
  • Incluso las extensiones de tiendas oficiales con buenas reseñas y distintivos de «destacadas» han sido objeto de ataques.
  • Reducir la proliferación de extensiones, auditar permisos y tratar las extensiones como activos de software son fundamentales para limitar el riesgo.

Las extensiones del navegador están destinadas a hacer la web más útil. Desde bloqueadores de anuncios y gestores de contraseñas hasta barras laterales de IA y herramientas de productividad, las extensiones prometen conveniencia con solo un clic. Pero esa conveniencia tiene un coste en términos de vulnerabilidades cibernéticas. Y los atacantes están explotando cada vez más esas vulnerabilidades.

Investigaciones recientes muestran que las extensiones de navegador maliciosas ya no son amenazas marginales o molestias de bajo nivel. Ahora son un vector de ataque escalable y sigiloso capaz de espiar a millones de usuarios, robar datos sensibles y socavar silenciosamente la seguridad organizacional.

Cómo funcionan las extensiones del navegador y por qué son vulnerables

A nivel técnico, las extensiones del navegador operan con privilegios elevados. Dependiendo de lo que un usuario apruebe durante la instalación, una extensión puede leer y modificar páginas web, rastrear la actividad a través de pestañas, acceder a datos de sesión o interactuar directamente con aplicaciones basadas en la web.

Ese acceso es lo que hace que las extensiones sean tan potentes. Pero también es lo que las hace potencialmente peligrosas. Una vez instaladas, las extensiones suelen ejecutarse de forma persistente en segundo plano y se actualizan automáticamente. Los usuarios rara vez revisan la configuración de permisos o examinan las actualizaciones, lo que crea una relación de confianza duradera que los atacantes pueden aprovechar.

A diferencia del malware tradicional, las extensiones maliciosas no necesitan explotar fallos de software. Operan completamente dentro de las reglas del navegador, utilizando permisos que el usuario ya ha concedido.

Qué pueden permitir los ataques basados en extensiones

Las extensiones de navegador maliciosas pueden robar datos sensibles, recoger credenciales, rastrear el comportamiento del usuario e inyectar o manipular contenido directamente dentro del navegador, convirtiéndolo efectivamente en un punto de acceso para ataques más amplios.

Dado que las extensiones se encuentran dentro del navegador, donde los usuarios se autentican, acceden a aplicaciones SaaS y manejan flujos de trabajo sensibles, los atacantes pueden utilizarlas para vigilancia, secuestro de sesión, fraude y espionaje corporativo sin desplegar malware tradicional.

En muchos casos, la víctima nunca ve una advertencia. La extensión sigue "funcionando", mientras alimenta silenciosamente datos a la infraestructura controlada por los atacantes.

Los ataques en el mundo real muestran la magnitud del problema

Informes recientes destacan cuán extendidas se han vuelto estas amenazas.

A mediados de 2025, Malwarebytes documentó una campaña que involucraba extensiones maliciosas en las tiendas oficiales de Chrome y Edge que espiaban a millones de usuarios. Estas extensiones ofrecían funcionalidad legítima, acumulaban reseñas positivas e incluso recibieron verificación o ubicación destacada. Solo más tarde los investigadores descubrieron que se había introducido código malicioso a través de actualizaciones, convirtiendo herramientas de confianza en malware de vigilancia.

Más recientemente, los investigadores descubrieron extensiones de Chrome que se hacían pasar por herramientas de productividad de IA y que secretamente recopilaban conversaciones de plataformas como ChatGPT y DeepSeek, junto con la actividad de navegación. Para los consumidores, eso puede significar pérdida de privacidad. Para las organizaciones, puede exponer código propietario, investigaciones confidenciales o discusiones comerciales sensibles.

Las campañas de larga duración, como DarkSpectre, llevan este modelo aún más lejos. En algunos casos, las extensiones permanecieron inofensivas durante cinco años o más antes de ser utilizadas como arma, lo que permitió a los atacantes crear bases de instalación masivas antes de dar el paso.

Un ataque a la cadena de suministro a nivel de navegador

Un factor que hace que estos incidentes sean especialmente preocupantes es su aspecto relacionado con la cadena de suministro.

Muchas de las extensiones involucradas no eran maliciosas al principio. Se volvieron así solo después de una actualización, a menudo tras un cambio de propiedad o control del desarrollador. Desde la perspectiva del usuario, nada cambió. Las actualizaciones se instalaron en silencio, como siempre lo habían hecho.

"Cuando una extensión ha estado disponible en la tienda web por un tiempo, los ciberdelincuentes pueden insertar código malicioso a través de actualizaciones a la extensión. Algunos investigadores se refieren a las extensiones limpias como 'agentes durmientes'. Estos agentes durmientes son la base para futuras actividades maliciosas."
— Malwarebytes [socradar.io]

Este enfoque refleja los ataques a la cadena de suministro de software vistos en otros lugares, pero con mucha menos supervisión y gobernanza.

Las señales de confianza como el número de descargas, las calificaciones y la longevidad ya no son indicadores fiables de seguridad.

Cómo protegerse de las extensiones maliciosas

Eliminar las extensiones por completo no es realista, pero hay pasos prácticos que individuos y organizaciones pueden tomar para reducir el riesgo:

  • Instale menos extensiones. Cada extensión amplía la superficie de ataque. Elimine todo lo que no use activamente.
  • Revise las extensiones regularmente. Preste especial atención a las extensiones de larga duración y a las actualizaciones recientes o cambios de propiedad.
  • Examine permisos. Tenga cuidado con las herramientas que solicitan un acceso amplio sin una razón clara y convincente.
  • Separe la navegación laboral y personal. Limitar las extensiones en los navegadores de trabajo puede reducir significativamente la exposición organizacional.
  • Trate las extensiones como software. Para las empresas, eso significa inventario, gobernanza y revisión continua, no confianza ciega.

Además, puede mejorar su capacidad para detectar y responder ante incidentes de todo tipo, sin carga de trabajo adicional para el departamento de TI interno, con una solución XDR mejorada con IA como Barracuda Managed XDR.

La confianza se gana, y se puede revocar.

Las extensiones de navegador se sitúan en el centro del trabajo digital moderno, donde la autenticación, la colaboración y los datos sensibles convergen. Esto las convierte en un objetivo cada vez más atractivo para los atacantes que buscan un acceso silencioso y duradero.

La lección de los ataques recientes es clara: el hecho de que una extensión haya sido segura en el pasado no significa que sea segura hoy. En un panorama de amenazas moldeado por el compromiso de la cadena de suministro, la confianza debe ser reevaluada continuamente, o de lo contrario será comprometida.

Descubra más sobre Barracuda Managed XDR
Tony Burgess

Tony Burgess es un veterano de veinte años en la industria de la seguridad informática y es el redactor senior de Barracuda para contenido y marketing al cliente. En este puesto, investiga temas técnicos complejos y traduce sus hallazgos en prosa clara, útil y legible por humanos.

Puedes conectar con Tony en LinkedIn aquí.

Publicaciones relacionadas:
Barracuda SecureEdge Access: Una forma sencilla de implementar servicios de seguridad en el perímetro
Barracuda SecureEdge Access: Una forma sencilla de implementar servicios de seguridad en el perímetro
Desarrollar la ciberresiliencia a gran escala: novedades de BarracudaONE y cómo nuestro programa de socios modernizado la potencia
Desarrollar la ciberresiliencia a gran escala: novedades de BarracudaONE y cómo nuestro programa de socios modernizado la potencia
 Informe de Google: Más vulnerabilidades de día cero que afectan a las empresas
Informe de Google: Más vulnerabilidades de día cero que afectan a las empresas
 El ataque a Notepad++ y los nuevos riesgos en la cadena de suministro
El ataque a Notepad++ y los nuevos riesgos en la cadena de suministro
Busque en el blog

Informe sobre brechas de seguridad del correo electrónico 2025

Principales hallazgos sobre la experiencia y el impacto de las brechas de seguridad del correo electrónico en organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Informe sobre perspectivas de clientes MSP 2025 

Una perspectiva global sobre lo que las organizaciones necesitan y desean de sus proveedores de servicios gestionados de ciberseguridad.

Obtener el informe

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.