- Riesgos asociados a la concesión de permisos excesivos que permiten el robo de cookies y datos personales.
- Existencia de extensiones maliciosas ocultas en la tienda oficial y distribuidas mediante sideloading.
- Importancia de verificar la reputación del desarrollador y mantener el navegador actualizado.

Casi todos hemos instalado alguna vez un pequeño complemento para que el navegador nos haga la vida más fácil. Ya sea para quitar anuncios, traducir textos al vuelo o gestionar contraseñas, estas herramientas son un auténtico regalo en términos de productividad. Sin embargo, esa misma comodidad suele ser el caballo de Troya que permite a los ciberdelincuentes colarse en nuestra intimidad digital sin que nos demos cuenta.
El problema es que solemos confiar ciegamente en cualquier cosa que venga de una tienda oficial, pensando que hay un filtro infranqueable. La realidad es que el malware ha evolucionado y ahora es capaz de camuflarse como una herramienta legítima, esperando el momento idóneo para activar funciones espía o robar nuestras credenciales mientras nosotros seguimos navegando tranquilamente.
Amenazas reales y el engaño de los permisos
Cuando instalamos una extensión, lo primero que nos pide es una serie de permisos. Muchos usuarios hacen clic en «aceptar» sin mirar, pero ahí reside el gran peligro. Algunas herramientas solicitan acceder a todas las cookies y datos de navegación, algo que para un traductor podría tener sentido, pero que para una extensión de «modo noche» o un gestor de pestañas es totalmente sospechoso.
El robo de cookies de sesión es una de las tácticas más agresivas. Al conseguir este acceso, los atacantes pueden suplantar la identidad del usuario y entrar en cuentas de redes sociales o tiendas online sin necesidad de saber la contraseña, saltándose incluso algunos sistemas de seguridad. Además, existen capacidades peligrosas como la inyección de scripts en páginas web o la modificación de los resultados de búsqueda para redirigirnos a sitios fraudulentos.

El misterio de las extensiones ocultas y el MaaS
Recientemente se ha detectado que existen complementos que no aparecen en las búsquedas de la Chrome Web Store. Estas extensiones ocultas solo se instalan mediante un enlace directo, lo que permite a los malestantes evitar el escrutinio de los moderadores y de la comunidad. Un ejemplo claro fueron aquellas que se hacían pasar por antivirus o bloqueadores de anuncios, pero que en realidad eran puro spyware diseñado para el robo de datos.
Otro fenómeno preocupante es el llamado «Malware as a Service» (MaaS), como el proyecto Stanley. Este modelo de negocio permite que ciberdelincuentes alquilen herramientas para lanzar ataques de phishing sofisticados. Mediante la superposición de iframes en pantalla completa, pueden engañar al usuario haciéndole creer que está en una web oficial, mientras que en realidad están capturando cada pulsación de teclado.
Rendimiento del sistema y fallos de estabilidad
No todo es robo de datos; a veces el peligro es simplemente la degradación de nuestro ordenador. Tener demasiadas extensiones activas puede provocar el temido error «STATUS_ACCESS_VIOLATION», que se traduce en pestañas que se congelan o cierres inesperados del navegador. Esto ocurre porque cada complemento añade procesos en segundo plano que devoran la memoria RAM y generan conflictos entre sí.
Además, existe el riesgo de las extensiones abandonadas. Muchos desarrolladores dejan de actualizar sus herramientas, dejando APIs obsoletas y vulnerables que pueden ser explotadas por terceros. Incluso puede pasar que una extensión segura sea vendida a otra empresa, y que el nuevo dueño decida introducir publicidad invasiva o rastreadores en una actualización automática sin que el usuario sospeche nada.
Consejos prácticos para una navegación segura
Para no caer en estas trampas, lo ideal es ser extremadamente selectivo. No instales nada que no sea estrictamente necesario y revisa la reputación del desarrollador. Si el creador no tiene una web oficial clara o sus redes sociales parecen vacías, es mejor pasar de largo. También es fundamental analizar las reseñas con ojo crítico, ya que los comentarios demasiado entusiastas o extremadamente cortos suelen ser falsos.
- Controla los permisos: Si una extensión te pide leer tus datos en todos los sitios web y no tiene una función que lo justifique, elimínala.
- Usa la tienda oficial: Evita a toda costa el «sideloading» o la instalación de archivos CRX desde foros o webs desconocidas.
- Limpieza periódica: Entra en
chrome://extensions/y borra todo aquello que ya no utilices o que te genere dudas. - Capa de seguridad extra: Mantén el navegador actualizado y utiliza la autenticación multifactor (MFA) en tus cuentas para que, aunque te roben la contraseña, no puedan entrar.
El uso de complementos es una espada de doble filo que requiere que seamos conscientes de la confianza que depositamos en el software. Para mantener la integridad de nuestro equipo, lo más inteligente es priorizar la seguridad sobre la comodidad, limitando la cantidad de herramientas instaladas y verificando que cada una de ellas provenga de una fuente legítima y transparente.