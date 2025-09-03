Las extensiones de navegadores web (también llamados complementos) han venido siendo desde hace años una fuente preferente para ocultar malware. El número de complementos se cuentan por miles y son tremendamente populares, de ahí que los ciberdelincuentes hayan encontrado un filón en su distribución.

La firma de seguridad ESET ha alertado de los riesgos de las extensiones de navegadores cuando se utilizan como vector de ataque. Aunque muchas cumplen funciones legítimas, otras esconden código malicioso capaz de robar contraseñas, secuestrar cuentas, redirigir a páginas fraudulentas o incluso instalar puertas traseras en los dispositivos.

Según datos de evaluaciones recientes en entornos corporativos, más de la mitad de las extensiones analizadas presentaban un riesgo alto y potencial para provocar «daños significativos». Este escenario afecta tanto a empresas como a administraciones, ya que los complementos – incluso descargados desde tiendas oficiales – pueden pasar inadvertidos para los equipos de seguridad y abrir la puerta a accesos no autorizados, como explica Josep Albors, director de investigación y concienciación de ESET España:

«Las extensiones amplían las funciones del navegador, pero también su superficie de ataque. El problema no es solo instalar una extensión maliciosa, sino que muchas extensiones legítimas pueden cambiar de propietario sin que el usuario lo sepa y, de un día para otro, convertirse en una amenaza. En ESET vemos incidentes que parten de permisos concedidos sin revisar, instalaciones desde fuentes no oficiales o extensiones legítimas que, tras ese cambio de propietario, comienzan a comportarse de forma maliciosa o, como mínimo, abusiva».

La compañía recomienda instalar complementos únicamente desde tiendas oficiales y revisar periódicamente las extensiones instaladas. También comprobar sus permisos y desinstalar las que no se usen o no sean estrictamente necesarias, además de combinarlo con soluciones de seguridad y autenticación multifactor.

Riesgos principales de las extensiones maliciosas

Más allá de las amenazas más evidentes, como el robo de contraseñas o la instalación de malware, las extensiones maliciosas pueden actuar de forma silenciosa durante semanas o meses, recopilando información sin levantar sospechas. Entre los riesgos más habituales, ESET destaca:

Secuestro de cuentas mediante el robo de cookies de sesión o credenciales almacenadas.

mediante el robo de cookies de sesión o credenciales almacenadas. Inyección de anuncios o redirecciones a páginas fraudulentas, generando ingresos para los atacantes y exponiendo al usuario a más amenazas.

o redirecciones a páginas fraudulentas, generando ingresos para los atacantes y exponiendo al usuario a más amenazas. Modificación de contenido web para manipular la información mostrada, algo especialmente peligroso en portales financieros o de compras online.

para manipular la información mostrada, algo especialmente peligroso en portales financieros o de compras online. Redirección a sitios maliciosos con malware, como infostealers, troyanos bancarios, o páginas falsas preparadas para robar credenciales e información personal.

con malware, como infostealers, troyanos bancarios, o páginas falsas preparadas para robar credenciales e información personal. Instalación de puertas traseras para acceder al dispositivo en cualquier momento.

para acceder al dispositivo en cualquier momento. Criptominería oculta, que ralentiza o incluso daña el equipo.

ESET alerta además de que en entornos corporativos el impacto se multiplica. La compañía explica que una extensión con permisos amplios puede acceder a correos electrónicos, documentos en la nube o herramientas de gestión interna, afectando tanto a la continuidad del negocio como al cumplimiento de normativas como el RGPD. Además, incluso extensiones legítimas, tras un cambio de propietario o una actualización maliciosa, pueden transformarse en una puerta de entrada para el cibercrimen.

Cómo blindar un navegador frente a complementos maliciosos

Para minimizar la exposición, ESET señala una serie de consejos que se incluyen en cualquier manual de seguridad informática: