La extensiones de Google Chrome podrían estar espiándote sin que te estés dando cuenta

Las extensiones de Google Chrome pueden mejorar la experiencia del usuario, sí, pero también podrían acceder a muchos datos del usuario. Los administradores, con todo esto, y ahora más que nunca, deben tomar el control de las extensiones de los usuarios por razones de seguridad y privacidad.

Y es que estas pequeñas y aparentemente inocentes herramientas suelen tener acceso a todo lo que haces en línea: capturar tus contraseñas, rastrear tu navegación por la web, insertar anuncios en las páginas que visitas, redirigir tu tráfico de búsqueda a otro lugar o robarte los datos de la tarjeta de crédito, son solo algunos ejemplos.

Los navegadores web de la actualidad como Google Chrome o Microsoft Edge tienen un sistema de permisos para las extensiones, pero muchas de ellas requieren acceso a todo para poder funcionar correctamente y aquí es dónde reside el problema.

Sin embargo, incluso una extensión que solo requiera acceso a un sitio web podría ser peligrosa. Por ejemplo, una extensión que instales en Google.com de alguna forma requerirá acceso a todo lo que hay en el navegador y, por tanto, tendrá acceso a tu cuenta de Google, incluido tu correo electrónico.

Aparte, estos navegadores actualizan de forma automática las extensiones a no ser que se requerirá un nuevo permiso por parte del usuario, solicitándoselo en ese caso. Pero si no, la nueva versión de la extensión se ejecutará con los mismos permisos que la versión anterior. 

Si hacemos memoria, en 2017 fue muy sonado el caso de la tan famosa extensión Web Developer para Chrome, que fue secuestrada. El desarrollador sufrió un ataque de phishing y el atacante subió una nueva versión de la extensión que insertaba más anuncios en las páginas web. 

Hablamos de que más de un millón de personas con esta extensión recibieron la infección. 

Comprueba tu extensiones con Extension Fingerprints

Sabiendo todo esto, un investigador ha creado un sitio web que utiliza las extensiones de Google Chrome que tienes instaladas para generar una huella digital de tu dispositivo y que después podría usarse en tu contra.

El desarrollador web 'z0ccc' compartió un nuevo sitio de huellas digitales llamado 'Extension Fingerprints' que puede generar un hash de seguimiento basado en las extensiones de Google Chrome instaladas en un navegador.

Algunas de las extensiones, como podéis ver, que el sitio web identificará son uBlock, LastPass, Adobe Acrobat, Honey, Grammarly, Rakuten y ColorZilla. Este ha analizado 1.170 extensiones populares disponibles en la tienda web de Google Chrome. 

Cualquier extensión que aparezca una vez hagas el análisis, que se realiza de forma automática al ingresar en su web, aparecerá una larga, o no, lista de extensiones con fondo verde o blanco. El verde hace referencia a aquellas que cuenta con los recursos necesarios para realizar un registro de tu información personal.

Sin embargo, si el fondo es blanco, podría considerarse que se trata de una extensión segura. El desarrollador hace hincapié en la idea de que son necesarias al menos 3 en verde para que se pueda considerar que hay una huella digital única y por lo tanto, más fácilmente rastreable.

Son programas diminutos con un enorme nivel de acceso a tu navegador web, y eso los hace peligrosos.

Cómo minimizar los riesgos

Algo básico pero efectivo, primero de todo, es ser consciente del peligro. Es por eso que lo recomendable es tener el menor número posible de extensiones en tu navegador. Si tienes alguna y no le das uso, desinstálala.

También es importante que sólo utilices extensiones de empresas de confianza. Por ejemplo, una extensión para personalizar YouTube creada por una persona al azar puede que no sea una buena idea.

Sin embargo, el notificador oficial de Gmail que ha creado Google, la extensión para tomar notas de OneNote creada por Microsoft o la extensión del gestor de contraseñas LastPass creada por la misma empresa, son otros ejemplos que sí son confiables.

Ya hemos escrito en el pasado sobre algunas que deberías incluir en tu navegador Chrome y que son totalmente seguras.

Aún así, y viendo lo que ocurrió con Web Developer para Chrome, parece que ni aún así puedes estar seguro de que algo ocurra con tu privacidad. Es por eso que toda precaución es poca y puedes llegar a pagar las consecuencias de una mala praxis por parte del desarrollador y las tuyas propias por confiar en quien no debes.