Menú
ES

Estudio revela que las extensiones del navegador pueden robar tus contraseñas

Una investigación reciente de la Universidad de Wisconsin-Madison ha revelado que un “porcentaje significativo” de las extensiones de Chrome (aproximadamente el 12,5%) ha obtenido permisos de los usuarios que permiten el acceso a información personal sensible. El enfoque principal de la publicación se centra en las contraseñas, las cuales, según los investigadores, a menudo se almacenan en PlainText en el código fuente, incluso en sitios web de buena reputación. Estas contraseñas desprotegidas, según ellos, pueden convertirse en objetivos fáciles para extensiones maliciosas en busca de datos.

Los investigadores descubrieron que en el 15% de los sitios web estudiados (que no son sitios oscuros ni poco conocidos, sino que están vinculados a nombres importantes como Google y Cloudflare, entre otros), las contraseñas estaban “presentes en PlainText, o texto simple, en el código fuente HTML.” En opinión de los investigadores, esta actitud descuidada por parte de los desarrolladores, combinada con las reglas relativamente flexibles para el desarrollo de extensiones en Chrome, deja una gran brecha para que los hackers exploren esta vulnerabilidad. Durante el estudio, identificaron 190 extensiones que estaban “accediendo directamente a los campos de contraseña”, incluyendo extensiones populares como AdBlockPlus y Honey, ambas con más de 10 millones de descargas.

Fragmento de la investigación
Fuente

Los investigadores afirmaron:

“Al analizar los archivos de manifiesto (archivos de formato JSON que proporcionan información importante sobre las capacidades de las extensiones y los archivos que utilizan), descubrimos que el 12,5% (17,3K) de las extensiones tienen los permisos necesarios para extraer información sensible en todas las páginas web”.

A pesar de que la nueva plataforma de extensiones de Google Chrome, el Manifesto V3, ha impuesto restricciones en el potencial de las extensiones de navegador, los investigadores encontraron que estas medidas no son capaces de contener los riesgos de seguridad de manera sustancial. Afirmaron: “A pesar de las mejoras esperadas por el MV3 en cuanto a la seguridad y la privacidad de los usuarios, el funcionamiento de los scripts de contenido permanece sin cambios. Esto hace que la falta de límites de seguridad entre la extensión y la página web persista, permitiendo que una extensión se cargue en el DOM (Modelo de Objeto de Documento) y obtenga acceso ilimitado a un sitio web, lo que implica riesgos de seguridad para los usuarios.”

Parece aterrador, ¿verdad? Entonces, vamos a entender esto mejor.

Todo es cuestión de confianza

Aunque es cierto que las extensiones de bloqueo de anuncios (como muchas otras) requieren ciertos permisos que pueden parecer alarmantes, esto no significa necesariamente que sean maliciosas o que tengan la intención de robar tus datos. Simplemente no tienen otra opción para cumplir con su propósito. Y debes confiar en que lo harán de manera segura.

De hecho, esta no es la primera vez que se han hecho advertencias sobre el alcance del acceso a los datos de los usuarios por parte de las extensiones de navegador. Este problema no es exclusivo de Chrome: las extensiones para otros navegadores, como Firefox, tienen las mismas capacidades y permisos. Esto también ocurre no solo en el caso de los bloqueadores de anuncios: todas las extensiones que necesitan modificar el contenido de las páginas web, como los administradores de contraseñas y las herramientas de productividad, requieren acceso a la información de estas páginas web. La razón técnica detrás de todo esto es el uso de JavaScript, un lenguaje de programación que permite la lectura y modificación de los elementos HTML de una página. Por ejemplo, los administradores de contraseñas utilizan JavaScript para ingresar nombres de usuario y contraseñas en los campos de inicio de sesión, mientras que las herramientas de productividad utilizan este mismo lenguaje para bloquear distracciones, cronometrar tiempos de uso, guardar páginas web, etc. Pero, ¿qué pasa con los bloqueadores de anuncios?

Los bloqueadores de anuncios ejecutan JavaScript para escanear las páginas web en busca de scripts de anuncios y otros elementos que coincidan con su lista de bloqueo. También lo utilizan para ocultar "restos de anuncios", es decir, espacios en blanco o elementos rotos que quedan después de bloquear los anuncios. Este proceso se llama "procesamiento cosmético".

En la descripción de la extensión de navegador AdGuard en la tienda de Chrome, buscamos ser transparentes acerca de por qué necesitamos ciertos permisos.

Permisos de AdGuard

Así, explicamos que necesitamos permisos para leer y modificar todos los datos en todos los sitios web ("permiso de host" en Chrome) y acceder a las pestañas ("permisos de pestañas") con el fin de bloquear anuncios y aplicar reglas cosméticas para que las páginas tengan una apariencia más limpia. También necesitamos el permiso de webNavigation para determinar el mejor momento para inyectar los scripts de bloqueo de anuncios, es decir, antes de que la página cargue cualquier anuncio.

En resumen, la extensión AdGuard, al igual que muchas otras, puede requerir permisos que parecen intrusivos para funcionar. En última instancia, depende de ti confiar o no en los desarrolladores y en sus justificaciones para el uso de estos permisos.

¿Y debes preocuparte?

Sí, considerando el panorama general, es mejor prevenir. Debes ser consciente al instalar extensiones que pueden acceder a tus datos en las páginas web. Siempre existe la posibilidad de que la extensión que deseas instalar sea maliciosa y tenga la intención de robar tu contraseña o los detalles de tu cuenta bancaria almacenados en PlainText en el código fuente HTML de un sitio web. Con la funcionalidad adicional, pueden surgir ciertos riesgos. Esto es válido no solo para complementos, sino también para otros servicios y dispositivos, como aspiradoras activadas por Wi-Fi o autos modernos con sensores, por ejemplo. En resumen, debes estar dispuesto a aceptar ciertos riesgos al permitir que una extensión haga su trabajo, como bloquear anuncios. No importa si consideras que este intercambio es justo o no, es inevitable.

En 2018, Mozilla publicó una entrada en su blog sobre los permisos de las extensiones, incluyendo los que pueden parecer “más alarmantes”. Explicaron por qué extensiones como los bloqueadores de anuncios necesitan utilizarlos por razones legítimas y destacaron los riesgos asociados.

Sin embargo, Firefox enfatizó que los casos en los que un desarrollador tiene segundas intenciones son posibles, pero aún así “raros”.

Blog de Mozilla

Fuente: Mozilla

Es posible que estés pensando que incluso algo “raro” puede causar demasiados problemas. Estamos de acuerdo: ignorar este problema no conlleva ningún beneficio. Hace algunos años, expusimos varias extensiones de bloqueo de anuncios maliciosas que robaron el código de extensiones legítimas y podían alterar tu navegador según su voluntad. En ese momento, estimamos que más de 20 millones de personas podrían estar siendo afectadas por estos bloqueadores de anuncios falsos. Entonces, la pregunta que queda es: ¿cómo podemos sentirnos un poco más cómodos al otorgar tantos permisos a nuestra extensión?

Bueno, aquí tienes una lista de todo lo que una extensión necesita para considerarse segura:

  • El autor de la extensión está claramente identificado, tiene una dirección física y, idealmente, tiene experiencia en la industria durante mucho tiempo.

  • Existe una política de privacidad que es clara y fácil de entender.

  • Los motivos para las solicitudes de permisos se explican de manera abierta y clara, y son coherentes con lo que ofrece la extensión.

  • La extensión tiene un código abierto: puedes ver una lista de todos los cambios y siempre está disponible (por ejemplo, la extensión del bloqueador de anuncios AdGuard para Chrome es gratuita y de código público).

  • El desarrollador tiene una presencia en línea activa y puede ser contactado fácilmente por los usuarios (a través de redes sociales, sitios web o servicio de soporte), proporcionando respuestas rápidas.

  • La extensión tiene buenas calificaciones y reseñas. Sin embargo, esto no garantiza la seguridad al 100%, ya que los comentarios y las calificaciones pueden ser manipulados por bots o dejados por usuarios que aprecian el funcionamiento de la extensión sin considerar otros aspectos. Pero eso es otra historia.

¿Te gustó esta publicación?
Al descargar los comentarios, aceptas los términos y políticas

AdGuard para Windows

AdGuard para Windows es más que un bloqueador de anuncios. Es una herramienta multipropósito que bloquea anuncios, controla el acceso a sitios peligrosos, acelera la carga de páginas y protege a los niños del contenido inapropiado.
Reseñas de usuarios: 15296
4,7 de 5
Al descargar el programa, aceptas los términos del acuerdo de licencia
Más información

AdGuard para Mac

AdGuard para Mac es un bloqueador de anuncios único diseñado teniendo en cuenta las especificaciones de macOS. No solo proporciona protección contra los anuncios en aplicaciones y navegadores, sino que también te protege contra rastreadores, phishing y fraude.
Reseñas de usuarios: 15296
4,7 de 5
Al descargar el programa, aceptas los términos del acuerdo de licencia
Más información

AdGuard para Android

AdGuard para Android es una solución perfecta para los dispositivos Android. A diferencia de la mayoría de los bloqueadores de anuncios, AdGuard no requiere acceso root y ofrece una amplia gama de opciones de gestión de aplicaciones.
Reseñas de usuarios: 15296
4,7 de 5
Al descargar el programa, aceptas los términos del acuerdo de licencia

AdGuard para iOS

El bloqueador de anuncios más avanzado para Safari: hace que se olvide de los anuncios emergentes, acelera la carga de la páginas y protege tus datos personales. Una herramienta manual de bloqueo de elementos y configuraciones altamente personalizables te ayudan a adaptar el filtrado a tus necesidades exactas.
Reseñas de usuarios: 15296
4,7 de 5
Al descargar el programa, aceptas los términos del acuerdo de licencia

Extensión de navegador AdGuard

¡AdGuard es la extensión para bloqueo de anuncios más rápida y ligera que bloquea eficazmente todo tipo de anuncios en todos sitios web! Elige AdGuard para tu navegador y disfruta de una navegación rápida, segura y sin anuncios.
Reseñas de usuarios: 15296
4,7 de 5

AdGuard para Safari

Las extensiones de bloqueo de anuncios para Safari están teniendo dificultades desde que Apple comenzó a forzar a todos a usar el nuevo SDK. La extensión de AdGuard devuelve el bloqueo de anuncios de alta calidad a Safari.
Reseñas de usuarios: 15296
4,7 de 5
App Store
Descargar
Al descargar el programa, aceptas los términos del acuerdo de licencia

AdGuard Home

AdGuard Home es un software a nivel de red para bloqueo de anuncios y rastreadores. Después de configurarlo, funcionará en TODOS tus dispositivos sin necesidad de instalar ningún software adicional en cada uno de ellos. Con el auge del IoT (Internet de las cosas) y del número de dispositivos conectados, se vuelve cada vez más y más importante controlar toda la red.
Reseñas de usuarios: 15296
4,7 de 5

Bloqueador de contenido AdGuard

Bloqueador de contenido AdGuard eliminará todo tipo de anuncios en navegadores móviles que soportan la tecnología de bloqueo de contenido como Samsung Internet y Yandex.Browser. Es más limitado que AdGuard para Android, pero es gratis, fácil para instalar y proporciona un bloqueo de anuncios de alta calidad.
Reseñas de usuarios: 15296
4,7 de 5
Al descargar el programa, aceptas los términos del acuerdo de licencia
Más información

Asistente de AdGuard

Una extensión de navegador complementaria para las [aplicaciones de escritorio](/es/products.html) AdGuard. Ofrece acceso en el navegador a las características como el bloqueo de elementos personalizado, lista de permitido de un sitio web o el envío de un informe.
Reseñas de usuarios: 15296
4,7 de 5
Asistente para Chrome ¿Es tu navegador actual?
Instalar
Al descargar el programa, aceptas los términos del acuerdo de licencia
Asistente para Firefox ¿Es tu navegador actual?
Instalar
Al descargar el programa, aceptas los términos del acuerdo de licencia
Asistente para Edge ¿Es tu navegador actual?
Instalar
Al descargar el programa, aceptas los términos del acuerdo de licencia
Asistente para Opera ¿Es tu navegador actual?
Instalar
Al descargar el programa, aceptas los términos del acuerdo de licencia
Asistente para Yandex ¿Es tu navegador actual?
Instalar
Al descargar el programa, aceptas los términos del acuerdo de licencia
Asistente para Safari ¿Es tu navegador actual?
Si no puedes encontrar tu navegador, prueba la versión legacy del asistente, que puedes encontrar en la configuración de la extensión AdGuard.

AdGuard Temp Mail β

Un generador gratuito de direcciones de correo electrónico temporales que te mantiene en el anonimato y protege tu privacidad. ¡Sin spam en tu bandeja de entrada principal!
Reseñas de usuarios: 15296
4,7 de 5

AdGuard para Android TV

AdGuard para Android TV es la única aplicación que bloquea publicidad, protege tu privacidad y actúa como firewall para proteger el tráfico en tu Smart TV. Recibe advertencias acerca de amenazas web, utilización de DNS seguro y beneficios de tráfico cifrado y protegido. Disfruta tus películas y series favoritas con alta protección y sin publicidad molesta!
Reseñas de usuarios: 15296
4,7 de 5
Descargando AdGuard Para instalar AdGuard, haz clic en el archivo indicado por la flecha Selecciona "Abrir", haz clic en "Aceptar" y después espera a que se descargue el archivo. En la ventana que se abra, arrastra el icono AdGuard a la carpeta de "Aplicaciones". ¡Gracias por elegir AdGuard! Selecciona "Abrir", haz clic en "Aceptar" y después espera a que se descargue el archivo. En la ventana que se abra, haz clic en "Instalar". ¡Gracias por elegir AdGuard!
Instala AdGuard en tu dispositivo móvil