Gran parte del trabajo de un desarrollador se realiza ahora en el navegador, con pestañas de GitHub, consolas cloud, CI/CD y herramientas internas, todas autenticadas y abiertas simultáneamente. Las extensiones del navegador se superponen a este entorno con amplios permisos, que a menudo incluyen acceso al contenido de la página, solicitudes de red y datos de sesión. Esta combinación las convierte en uno de los objetivos más atractivos para los atacantes.
Una única extensión del navegador desempeñó un papel importante en la cadena de ataque de la brecha de Vercel a principios de este año, y no será la última vez. Este artículo explica cómo funcionan realmente las extensiones, por qué los controles en los que confían la mayoría de las organizaciones son insuficientes y qué funciona tanto a nivel individual como organizacional.
Cómo funcionan las extensiones del navegador y por qué son vulnerables
Seré breve con las definiciones, pero, en resumen, las extensiones del navegador amplían la funcionalidad de su navegador de formas interesantes al instalar software con privilegios importantes en el navegador.
Las extensiones se basan en web APIs y se ejecutan dentro del propio proceso del navegador. Un archivo manifest.json declara los permisos que la extensión solicita en el momento de la instalación. Los Background service workers se ejecutan de forma persistente, gestionando las solicitudes de red y la comunicación con servidores externos. Los Content scripts se inyectan en el DOM de la página por separado, lo que otorga a una extensión acceso directo a todo lo que se renderiza en el navegador.
Cuando concede a una extensión acceso a "todos los sitios", le está otorgando acceso de lectura y escritura a cada página que carga el navegador, incluidas las sesiones autenticadas, las entradas de formularios y las respuestas de API en tránsito. Pueden ver mucho. Las extensiones no pueden abrir directamente la bóveda de un gestor de contraseñas, pero no necesitan hacerlo. Con los permisos de host y la inyección de content scripts adecuados, pueden interceptar eventos de autocompletado y leer los valores de los campos de formulario antes de su envío. Pueden capturar credenciales mientras escribe si las contraseñas están en texto plano en el código fuente HTML (lo cual ocurre más de lo que cabría esperar).
Otro problema de seguridad con las extensiones del navegador es que se actualizan de forma silenciosa y automática, sin solicitar consentimiento. A diferencia de la mayoría del software que le molesta para que apruebe las actualizaciones, la única vez que una extensión le notificará es si necesita permisos adicionales más allá de los que ya tiene. Una extensión que estaba limpia el mes pasado podría recibir una actualización maliciosa esta noche, y todos los usuarios que la tuvieran instalada la recibirían automáticamente.
¿Por qué se utilizan las extensiones del navegador para ataques?
La gente lleva diciendo que "el navegador es el nuevo escritorio" al menos desde el lanzamiento de Chrome, y no está lejos de la realidad para los desarrolladores. Si eso es cierto, entonces las extensiones son las aplicaciones que se ejecutan en ese escritorio, con acceso a las consolas de GitHub y AWS.
Las cookies son una de las piezas vulnerables. Las session cookies pueden ser exfiltradas y reutilizadas, dando a un atacante acceso a todo lo que la víctima tiene autenticado desde cualquier lugar. Por lo tanto, para un atacante, el acceso persistente a las sesiones autenticadas del navegador es bastante valioso. Glassworm es un ataque de cadena de suministro en curso que ha comprometido cientos de proyectos en GitHub, npm y VS Code. En un desarrollo de 2026, descubierto por el equipo de investigación de seguridad de Aikido, la campaña desplegó un malware que específicamente instaló una extensión del navegador para robar session cookies y tokens de las sesiones del navegador. ¡El atacante sabía que una extensión sería una forma fácil de robar esos datos!
También es relativamente fácil crear y publicar extensiones maliciosas. En su mayor parte, el proceso de verificación de la Chrome Web Store es mínimo, y las actualizaciones de las extensiones ya publicadas reciben poco escrutinio después de la revisión inicial. Por ejemplo, investigadores en India crearon y enviaron extensiones maliciosas reales tanto a la Chrome Web Store como a la Firefox Add-ons Store entre enero y marzo de 2025, y varias lograron pasar. Probaron nueve tipos de extensiones que cubrían el robo de cookies, keylogging, captura de pantalla, seguimiento del historial de navegación, activación de la cámara, inyección de anuncios y acceso a la bandeja de entrada de Gmail. Firefox permitió casi todo, especialmente cuando el comportamiento malicioso se empaquetaba dentro de algo que se hacía llamar una herramienta de productividad.
Las extensiones también pueden comprarse y venderse discretamente. The Great Suspender es la historia canónica de una transferencia de propiedad que salió mal. Era una extensión de gestión de pestañas muy apreciada y ampliamente instalada. El autor, agotado por años de mantener la extensión sin remuneración, la vendió a otra persona (la clásica historia de mantenedores poco valorados). El nuevo propietario lanzó actualizaciones que introdujeron seguimiento e inyección de anuncios. Cuando los investigadores alertaron sobre el nuevo comportamiento, ya había estado en millones de navegadores durante semanas.
¿Cuáles son algunos ciberataques que involucran extensiones del navegador?
Las extensiones del navegador han sido responsables de algunos ataques importantes en los últimos años. Algunas contenían payloads maliciosos, otras simplemente fueron comprometidas.
Tomemos como ejemplo la brecha de Vercel a principios de este año. Un empleado de Vercel había instalado previamente la extensión de Chrome de Context.ai y le había otorgado acceso OAuth a su Google Workspace. Luego, un empleado de Context.ai instaló malware y comprometió sus cuentas. El malware robó credenciales y OAuth tokens almacenados en el backend de Context.ai, incluido el Vercel OAuth token, y luego el atacante utilizó el token para irrumpir en los sistemas internos de Vercel.
Aunque aquí también intervienen otras prácticas inseguras, como no revisar y revocar autorizaciones OAuth excesivamente potentes y de larga duración, y variables de entorno que deberían haberse marcado como sensibles, la extensión de Chrome fue el punto de entrada. La extensión en sí no era maliciosa, pero tenía acceso a datos sensibles y fue comprometida.
La brecha de Cyberhaven a finales de 2024 es la historia de cómo una extensión se convirtió en malware, donde la extensión de Chrome de Cyberhaven fue comprometida a través de un ataque de phishing en una cuenta de desarrollador. Se lanzó una actualización maliciosa a todos los usuarios y estuvo activa durante 24 horas antes de que alguien la detectara.
En ambos casos, el acceso a la extensión del navegador fue el primer paso que hizo posible todo lo demás.
Por qué fallan los controles de seguridad de las extensiones del navegador
Muchas organizaciones no tienen una política formal de extensiones. Las que sí la tienen, a menudo intentan bloquearlo todo (lo cual los desarrolladores y las personas con conocimientos técnicos simplemente eluden) o dependen de una allowlist mantenida manualmente que siempre está algo desactualizada.
La curación y actualización de la lista presenta algunas barreras evidentes. Aproximadamente la mitad de los autores de extensiones son desconocidos y se validan únicamente con una dirección de Gmail, y 4 de cada 5 editores tienen solo una extensión. Por lo tanto, la gestión de extensiones basada en la reputación solo funciona para una pequeña parte de las extensiones, e incluso grandes empresas publican extensiones que no son del todo fiables.
Investigadores, como parte de un informe de investigación anónimo, detectaron 287 extensiones con un total combinado de 37,4 millones de instalaciones que exfiltraban el historial de navegación. La única forma de detectarlo fue mediante el análisis de tráfico basado en el comportamiento, por lo que simplemente leer las descripciones no las habría marcado. Muchas de las extensiones implicadas eran nombres conocidos.
Sin mencionar que las extensiones pueden actualizarse o cambiar de propietario de forma silenciosa. Es imposible mantenerse al día con un proceso manual de revisión de extensiones.
Cómo proteger las extensiones del navegador
Las extensiones de navegador conllevan un riesgo bastante alto por la propia naturaleza de su funcionamiento, pero aun así tenemos formas de hacer su uso más seguro, sin tener que eliminarlas por completo.
A nivel individual, hay algunas precauciones sencillas que tomar:
- Verifique qué extensiones están instaladas en su navegador ahora mismo y revise sus permisos. Las extensiones pueden cambiar con el tiempo sin informarle, por lo que es una buena idea revisar las extensiones que instaló hace años y no ha vuelto a mirar desde entonces.
- Desinstale las extensiones que no necesite o que tengan permisos excesivamente amplios. Una extensión que necesita acceso a todos los sitios para formatear hojas de cálculo debería, como mínimo, levantar sospechas. Puede verificar qué aplicaciones, incluidas las extensiones, tienen acceso a su cuenta de Google en su página de permisos de la cuenta.
- Evite instalar extensiones que soliciten demasiados permisos. Sea escéptico con las extensiones que tienen permisos amplios de editores pequeños o desconocidos.
- Los perfiles de navegador pueden aislar el trabajo sensible de la navegación general, lo que limita el radio de impacto si algo sale mal. Mantenga su trabajo separado de su perfil de navegador personal.
- Trate las instalaciones de extensiones con el mismo escrutinio que aplicaría a una dependencia de npm. Investigue a fondo.
Lo anterior funciona bien para su ordenador personal o un equipo pequeño, pero no escala realmente, ni es posible aplicarlo en toda una empresa. A nivel organizacional, los sistemas que funcionan son los siguientes:
- Bloqueo previo a la instalación frente a una fuente de inteligencia de amenazas en tiempo real en lugar de una lista estática que alguien actualiza manualmente
- Escanear extensiones de forma continua para que los cambios de comportamiento se detecten rápidamente
- Visibilidad en toda la empresa para saber qué está instalado antes de que algo salga mal
- Políticas que tienen en cuenta que ingeniería, ventas y finanzas tienen perfiles de riesgo y necesidades diferentes
- Eduque a todos sobre las mejores prácticas individuales compartiendo blogs como estos e implementando formación en seguridad (Riot tiene un buen producto para esto).
No todas las herramientas de gestión de dispositivos admiten este tipo de gestión de extensiones de navegador, por lo que debe verificar las características de su herramienta MDM para ver si las cubre.
Aikido Endpoint es una solución que funciona para este modelo de seguridad de extensiones de navegador. Es un agente ligero diseñado para la superficie de ataque de los dispositivos de desarrollador que cubre estas bases. Bloquea las extensiones maliciosas conocidas antes de que se instalen, aplica una retención de 48 horas a las extensiones recién publicadas y proporciona a los equipos de seguridad visibilidad sobre lo que está instalado en cada dispositivo de desarrollador, con controles de políticas a nivel de equipo y un flujo de trabajo de aprobación que mantiene a los desarrolladores desbloqueados. La cobertura se extiende más allá de las extensiones de navegador a npm, PyPI, extensiones de IDE y mercados de agentes de IA.
Detenga el próximo ataque de extensión de navegador
La brecha de Vercel no será el último incidente en el que las extensiones de navegador formen parte de la cadena de ataque. La superficie de ataque es demasiado valiosa, por lo que tanto individuos como empresas deben estar preparados.
El mismo rigor que se aplica a las dependencias de código abierto también es aplicable aquí, y las organizaciones que lo traten de esa manera estarán en una posición mucho mejor que aquellas que esperen a que un incidente fuerce la conversación.
Obtenga más información sobre Aikido Endpoint o explore el feed de Aikido Intel para ver qué se ha detectado en los ecosistemas de código abierto en tiempo real.
{{cta}}
Preguntas frecuentes
¿Qué convierte a las extensiones de navegador en un riesgo de seguridad?
Las extensiones de navegador se ejecutan dentro del propio proceso del navegador y pueden solicitar permisos amplios en el momento de la instalación. Una extensión con acceso a todos los sitios puede leer el contenido de la página, interceptar solicitudes de red y acceder a sesiones autenticadas en todo lo que haga en el navegador. Esto incluye herramientas internas, consolas en la nube y cualquier credencial o token que pase por una página. El modelo de permisos es potente por diseño, y esa potencia es lo que hace que las extensiones sean atractivas para los atacantes.
¿Puede una extensión de navegador robar mis contraseñas?
No siempre directamente, pero a menudo de forma efectiva. Las extensiones no pueden abrir la bóveda cifrada de un gestor de contraseñas, pero no necesitan hacerlo. Con los permisos de host adecuados y la inyección de scripts de contenido, una extensión puede interceptar eventos de autocompletado y leer los valores de los campos del formulario antes de su envío. Si las credenciales aparecen en texto plano en el código fuente HTML en algún momento, una extensión con acceso a scripts de contenido puede leerlas. Una extensión maliciosa con privilegios suficientes puede capturar las credenciales mientras las escribes.
¿Las extensiones del navegador se actualizan automáticamente?
Sí, ¡y sin pedir su consentimiento! A diferencia de la mayoría del software que le solicita que apruebe una actualización, las extensiones del navegador se actualizan silenciosamente en segundo plano. La única excepción es cuando una actualización solicita permisos adicionales más allá de lo concedido originalmente. Una extensión limpia que reciba una actualización maliciosa esta noche propagará esa actualización a todos los usuarios automáticamente. Usted no tendría forma de saberlo a menos que estuviera monitorizando activamente el comportamiento de la extensión.
¿Cómo puedo saber si una extensión del navegador es segura de instalar?
No hay una única señal fiable, pero hay algunas cosas que puede verificar. Observe qué permisos solicita la extensión y si coinciden con lo que la extensión realmente necesita hacer. Compruebe si el editor es conocido. En caso de duda, trate la decisión como trataría la adición de una dependencia desconocida a una base de código en producción.
¿Por qué la detección de endpoints no detecta la actividad maliciosa de las extensiones del navegador?
La mayoría de las herramientas de Detección y Respuesta de Endpoints (EDR) pasan por alto las amenazas de las extensiones del navegador porque todo lo que hace una extensión maliciosa se asemeja a la actividad normal de Chrome. Las solicitudes de red y el acceso al DOM ocurren dentro del proceso del navegador y son indistinguibles de la actividad legítima del navegador a nivel de sistema.
¿Cómo gestiono la seguridad de las extensiones del navegador?
Las organizaciones deben priorizar los controles basados en el comportamiento sobre los controles basados en la identidad. Mantener una lista blanca manual de extensiones aprobadas no tiene en cuenta las actualizaciones silenciosas o las transferencias de propiedad. Lo que funciona es el bloqueo previo a la instalación contra una fuente de inteligencia de amenazas continuamente actualizada, la monitorización continua del comportamiento para que se detecten los cambios en las extensiones ya instaladas, y la visibilidad en toda la empresa de lo que realmente está instalado en todos los dispositivos. Las políticas también deben tener en cuenta que ingeniería, ventas y finanzas tienen perfiles de riesgo y necesidades de extensión diferentes.
¿Son seguras las extensiones de Chrome? Las extensiones de Chrome no son inherentemente inseguras, pero conllevan un riesgo real por diseño. El modelo de permisos otorga a las extensiones un amplio acceso a la actividad del navegador, y el proceso de verificación de la Chrome Web Store es mínimo. Una extensión que parece bien en el momento de la instalación puede recibir una actualización maliciosa, ser vendida a un nuevo propietario o ser comprometida a través de la cuenta de su desarrollador. Que sea segura o no depende en gran medida de la extensión específica, su editor y los permisos que solicita.
¿Pueden las empresas monitorizar las extensiones del navegador? La mayoría de las organizaciones tienen visibilidad limitada sobre qué extensiones están instaladas en su flota y qué están haciendo esas extensiones. Las herramientas MDM pueden aplicar listas blancas, pero no detectan cambios de comportamiento después de la instalación. Las herramientas EDR pasan por alto la mayor parte de la actividad de las extensiones porque es indistinguible del comportamiento normal del navegador a nivel de sistema. Las herramientas dedicadas que residen en el dispositivo y verifican las instalaciones contra una fuente de inteligencia de amenazas en tiempo real son el enfoque más fiable disponible actualmente.
¿Cómo ayuda Aikido Endpoint con la seguridad del navegador?
Aikido Endpoint reside en el dispositivo e inspecciona cada instalación de extensión antes de que ocurra, bloqueando automáticamente las extensiones maliciosas conocidas contra Aikido Intel, una fuente de inteligencia de amenazas continuamente actualizada. También aplica un bloqueo de 48 horas a las extensiones recién publicadas, que es cuando las nuevas amenazas tienen más probabilidades de pasar desapercibidas. Los equipos de seguridad obtienen visibilidad de lo que está instalado en cada dispositivo de desarrollador, con controles de políticas a nivel de equipo y un flujo de trabajo de aprobación que mantiene a los desarrolladores desbloqueados. La monitorización de extensiones del navegador está incluida en el nivel de pago de Endpoint, junto con la cobertura para npm, PyPI, extensiones de IDE y marketplaces de agentes de IA.
