Descubren 287 extensiones de Chrome que recopilan datos de navegación de los usuarios

 (qcontinuum.substack.com)
4 puntos por GN⁺ 2026-02-12 | 1 comentarios | Compartir por WhatsApp
  • Mediante un pipeline automatizado de escaneo basado en MITM (ataque de intermediario) se detectó que 287 extensiones de Chrome envían al exterior el historial de navegación de los usuarios
  • Estas extensiones acumulan en total aproximadamente 37.4 millones de instalaciones, lo que equivale a cerca del 1% de los usuarios de Chrome en todo el mundo
  • En estas filtraciones de datos están involucrados importantes brokers de datos y varias firmas pequeñas, entre ellas Similarweb, Curly Doggo, Offidocs y Big Star Labs
  • El análisis mostró que algunas extensiones usan técnicas de cifrado como ROT47, AES‑256 y LZ‑string para ocultar y transmitir los datos de URL
  • Más allá de una simple invasión de privacidad, se trata de una amenaza grave que puede derivar en riesgos de seguridad como la exposición de URL de redes internas corporativas y consolas de administración

Construcción de un pipeline de escaneo automatizado

  • El equipo de investigación creó un sistema automatizado que envuelve el navegador Chrome en un entorno Docker con un proxy MITM y mide la correlación del tráfico saliente según la longitud de las URL
    • Si el volumen transmitido aumenta en proporción a la longitud de la URL, se considera que la extensión está enviando esa URL al exterior
  • El escaneo se realizó en dos fases y requirió un total de 930 días de CPU
    • Primero se probaron 4 longitudes de URL y, si se detectaba una tasa sospechosa (0.1 ≤ R < 1.0), se volvía a validar con 6 longitudes adicionales

Detección y análisis de filtración de datos

  • Se confirmó que 287 extensiones transmiten el historial de navegación a servidores externos
  • El total de instalaciones de estas extensiones es de aproximadamente 37.4 millones, equivalente a alrededor del 1% de los usuarios globales de Chrome
  • Los datos filtrados se envían a Similarweb, Curly Doggo, Offidocs y Big Star Labs, entre otros, y algunos son recolectados nuevamente mediante el scraper de Kontera
  • Al operar un servidor honeypot para rastrear las IP que realmente recopilan los datos, se observó acceso repetido desde 5 rangos principales de IP, incluidos HashDit, Blocksi AI Web Filter y Kontera

Principales actores y vínculos

  • Mediante análisis OSINT se investigaron el correo del desarrollador, la política de privacidad y la información de certificados de cada extensión
  • Se confirmó que la extensión “Similar Sites” de Similarweb está conectada con el scraper de Kontera, así como con Curly Doggo y Offidocs
  • Big Star Labs comparte los mismos patrones de código que Similarweb, por lo que es muy probable que pertenezcan a la misma organización

Casos representativos de filtración

  • Poper Blocker: ofusca la URL con ROT47 y la envía a api2.poperblocker.com
  • Stylish: cifra la URL con AES‑256 y cifrado de clave pública RSA antes de enviarla a userstylesapi.com
  • BlockSite y Video Ad Blocker Plus: envían URL usando compresión LZ‑string UTF16 y comparten el mismo esquema de datos
  • Similarweb: envía datos de navegación con múltiples niveles de codificación de URL a rank.similarweb.com
  • WOT (Web of Trust): cifra la URL con una codificación personalizada basada en XOR, con una estructura idéntica a la de Similarweb
  • Smarty, CrxMouse, ApkOnline, Knowee AI y Super PiP, entre otras, también transmiten datos mediante parámetros de URL, headers y la API de Google Analytics

Escala e impacto de la amenaza

  • Resultaron afectados cerca de 37.4 millones de usuarios, una cifra comparable a la población de Polonia
  • Algunas extensiones podrían requerir acceso al historial de navegación por su función, pero muchas recopilan datos sin consentimiento explícito
  • Los datos filtrados podrían usarse para segmentación publicitaria, espionaje corporativo y secuestro de sesiones
    • En especial, en entornos empresariales existe el riesgo de exponer URL internas cuando empleados usan extensiones de “mejora de productividad”

Conclusión y advertencia

  • Muchas de las extensiones analizadas usan técnicas deliberadas de cifrado y ocultamiento para evadir la detección
  • Esto no parece ser un simple bug, sino un modelo de negocio basado en la recolección de datos
  • Conviene recordar que, aunque sea gratuito, el software no open source puede convertir al usuario en el “producto”
  • Al instalar extensiones de Chrome, es esencial revisar los permisos y verificar su procedencia

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-12
Opiniones en Hacker News

  • Hace unos 15 años hice una extensión de Chrome que hacía una sola cosa específica y se volvió bastante popular.
    La vendí por unos cuantos miles de dólares y me olvidé del tema, pero ahora veo claramente un patrón en el que gente malintencionada compra extensiones legítimas para lucrar con los datos de los usuarios.
    He visto varios casos con mis propios ojos.

    • Llevo más de 10 años manteniendo una extensión multiplataforma para navegadores bastante popular, y no dejan de llegarme ofertas para monetizarla.
      La discusión relacionada está resumida en GitHub Discussions.
    • Esto es un típico ataque a la cadena de suministro (supply-chain attack).
      Funciona de forma parecida a cuando gamers venden personajes de alto nivel o cuando una cuenta de redes sociales cambia de dueño.
      Ahora el nuevo frente de la seguridad son las extensiones del navegador, las integraciones en la nube y los permisos de acceso de las apps.
      Si le das a cualquier app acceso completo a Gmail o Google Drive, puedes quedar expuesto a ransomware.
      No deja ni rastro en el sistema operativo local y tampoco lo detecta un antivirus.
      El proceso de revisión de seguridad es demasiado engorroso, y quitar accesos uno por uno es una tortura.
      Hace falta una mejor solución.
    • Hace 15 años probablemente era justo cuando este tipo de transacciones apenas empezaban.
      No se puede impedir por completo la venta de extensiones, pero sí habría que reforzar el proceso de verificación de la Chrome Web Store.
    • Aunque el vendedor no tenga malas intenciones, creo que debería existir cierta responsabilidad legal por los problemas que ocurran después de la venta.
      Aun así, esa responsabilidad no debería recaer en individuos, sino ser administrada por el operador de la tienda.

  • Preparé una lista de cómo protegerse por cuenta propia cuando una extensión en la que confiabas se vuelve maliciosa.

    • Con Extensions Update Notifier puedes vigilar las actualizaciones y revisar si hubo cambio de propiedad.
    • En Brave puedes configurar tus propias reglas de filtrado de tráfico con brave://flags/#brave-extension-network-blocking.
    • Otra opción es clonar el repositorio de GitHub, revisarlo con Claude Code y compilarlo tú mismo para actualizar manualmente.
      • Me parece una idea realmente buena.
        Me pregunto si existe alguna herramienta para auditar de forma determinista una base de código de extensiones.

  • Yo solo uso extensiones de código abierto.
    Solo confío en cosas como uBlock Origin o SponsorBlock, donde el código es público y los desarrolladores no son anónimos.
    La Chrome Web Store es prácticamente un mercado sin regulación, y Google solo se queda con las ganancias.
    El código abierto es la mínima medida de seguridad que te permite revisar el código antes de instalar.

    • Una extensión open source de un desarrollador no anónimo y confiable es una buena señal, pero eso no garantiza que el paquete distribuido sea exactamente igual al código publicado.
      Lo mismo aplica para otros canales de distribución de software open source como pip, npm o rpm.
    • Entonces, me pregunto cómo se puede verificar que el código de una extensión instalada coincide exactamente con el código publicado.
    • Por eso también está la opinión de que es una lástima que Tampermonkey no sea open source.
      La discusión relacionada está en GitHub Discussions.
    • Como no se puede auditar todo personalmente, creo que hace falta un sistema de validación de una entidad confiable.
      “No confiemos en Google” es menos realista que “mejoremos el sistema”.
    • Desactivar las actualizaciones automáticas y fijar una versión (version lock) también es más seguro.
      Firefox o Safari se prestan mejor para esto que Chrome.

  • El código de la mayoría de las extensiones está ofuscado, pero cualquiera puede ver el código fuente.
    El método está explicado en este enlace.
    Yo también mantengo una extensión pequeña que usan unas 2 mil personas, y con frecuencia me llegan ofertas para comprarla y convertirla en malware.
    Un ejemplo es One Click Image Saver.

  • Mi hija, que está en primaria, usa Google Classroom en una Chromebook en la escuela, y casi no hay restricciones para las extensiones.
    Cada vez que inicia sesión, Chrome muestra un aviso de que “se eliminó una extensión por actividad maliciosa”.

    • Puede que ella no se dé cuenta de que una extensión está robando la cámara o el historial de búsqueda.
      Por eso creo que es mejor usar solo extensiones open source o hacerlas uno mismo.
      Si la función es simple, se puede escribir directamente con Tampermonkey y revisar el código por cuenta propia.
      Últimamente yo también hago casi todas mis extensiones por mi cuenta.
      Tampermonkey facilita modificar y revisar el código, y también hace más fácil auditar seguridad con herramientas de IA.

  • Yo desactivo las actualizaciones automáticas en todo el software.
    Eso de que “si no actualizas de inmediato te van a hackear” es una ilusión.
    De hecho, siento que hay más probabilidad de que te comprometan después de actualizar.

    • Al final, tanto actualizar como no actualizar implican riesgo.

  • Las extensiones no confiables tarde o temprano tienen una alta probabilidad de ser vendidas y convertirse en malware.
    Por eso yo solo instalo uBlock Origin.

    • Yo también mantengo una extensión con más de 100 mil usuarios, y me han llegado cientos de correos con ofertas de compra.
      Todos llegan a la dirección pública que Google me obligó a publicar.
      No ha llegado ni un solo correo realmente útil.
      Por eso yo también solo confío en uBlock Origin, Bitwarden y mis propias extensiones.
      Un ejemplo es Old Reddit Redirect.
    • Yo también uso solo uBlock Origin.
      Antes usaba Tree Style Tab, pero Firefox ahora ya trae pestañas verticales de forma nativa, así que dejó de hacer falta.
      Instalar una nueva extensión es demasiado riesgoso.
    • Como dato, el proyecto original uBlock una vez terminó en manos de alguien no confiable,
      y luego el desarrollador Raymond Hill lo retomó en forma de fork.

  • Muchas extensiones recolectan parámetros de URL de consultas de búsqueda como "u": "https://www.google.com/search?q=target";.
    Eso significa que no solo pueden recopilar historial de navegación, sino incluso robar tokens de autenticación.

    • Si un servicio envía tokens de autenticación como parámetros en la URL, entonces no deberías usar ese servicio.
      Esos tokens están expuestos por definición.

  • Da curiosidad por qué Google, una de las empresas más ricas del mundo, no resolvió esto directamente.
    Se esfuerza muchísimo por bloquear ad blockers, pero deja esto abandonado.

    • Tal vez Google ya conocía este problema.
      Si ese fuera el caso, la pregunta más importante sería “¿por qué no lo hizo público?”.

  • Compartieron un comando para listar todos los IDs de extensiones de Chrome instaladas en macOS.

    find "$HOME/Library/Application Support/Google/Chrome" \
  -type d -path "*/Extensions/*" -not -path "*/Extensions/*/*" \
  -print 2>/dev/null | sed 's#.*/Extensions/##' | sort -u

    Luego puedes comparar el resultado con la lista de extensiones maliciosas.