Una investigación técnica a gran escala sobre la seguridad de las extensiones de Google Chrome ha identificado 287 complementos que recopilan de forma silenciosa el historial completo de navegación y lo envían a terceros. Se estima que estas extensiones acumulan más de 37,4 millones de instalaciones, lo que convierte el incidente en un problema de privacidad de alcance global.
Investigación de 32.000 extensiones: filtración masiva del historial de navegación
El estudio analizó alrededor de 32.000 extensiones publicadas en Chrome Web Store, centrándose en detectar la exfiltración de URLs visitadas. El resultado fue la identificación de más de 30 empresas y estructuras afiliadas dedicadas de forma sistemática a la recolección de datos de navegación a través de estos complementos.
Entre las organizaciones implicadas figuran nombres relevantes del ecosistema digital y de analítica web: Similarweb, Semrush, Alibaba Group, ByteDance y la entidad vinculada a Similarweb Big Star Labs, entre otras redes menos visibles que operan a través de desarrolladores aparentemente independientes.
Cómo se descubrió el espionaje en extensiones de Chrome
Emulación controlada del navegador y análisis de tráfico HTTPS
Para detectar la fuga de datos se empleó un entorno automatizado basado en Docker, ejecutando el navegador Chromium junto con un MITM proxy (man-in-the-middle). Esta configuración permitió interceptar y descifrar tráfico HTTPS entre el navegador y los servidores remotos, algo esencial para ver qué información real se estaba enviando fuera del equipo del usuario.
El pipeline de pruebas generaba actividad sintética: abría un conjunto predefinido de sitios web y, a continuación, correlacionaba el tráfico saliente con las URLs efectivamente visitadas. Gracias a este mapeo preciso fue posible detectar extensiones que enviaban a servidores de terceros las direcciones completas de las páginas, incluidos los parámetros de consulta, lo que multiplica el riesgo de exposición de datos sensibles.
Empresas y extensiones implicadas
El análisis no solo identificó redes de analítica ligadas a grandes compañías, sino también extensiones populares que muchos usuarios perciben como herramientas legítimas de productividad o personalización. Entre ellas se encuentran:
• Stylish – complemento para personalizar temas y apariencia de sitios web;
• Ad Blocker: Stands AdBlocker y Poper Blocker – bloqueadores de anuncios y ventanas emergentes;
• CrxMouse – extensión para habilitar gestos con el ratón;
• SimilarWeb: Website Traffic & SEO Checker – extensión oficial de Similarweb para analizar tráfico y SEO.
Según la investigación, alrededor de 20 millones de instalaciones no pueden vincularse con claridad a un destinatario final concreto de los datos, lo que sugiere el uso de infraestructura de empresas pantalla o de redes de “analítica de socios” con propiedad y control opacos.
Mecanismos de rastreo oculto y ofuscación de la información
Estas extensiones se presentan mayoritariamente como utilidades inofensivas (bloqueadores de anuncios, asistentes de compras, herramientas de productividad o personalización). En el momento de la instalación, suelen solicitar permiso de acceso al historial de navegación (history) y, en algunos casos, a pestañas (tabs) o al tráfico (webRequest), sin explicar de forma clara por qué necesitan tales privilegios.
Parte de los complementos detectados ofusca deliberadamente los datos enviados al backend: usa codificación Base64 o incluso cifrado AES‑256 antes de transmitir la información. Para el usuario, este comportamiento es invisible; para los analistas, complica la detección de la fuga si no se dispone de un enfoque de interceptación MITM que permita observar el contenido antes de ser cifrado.
Políticas de privacidad, legalidad y consentimiento real del usuario
Una parte de las extensiones investigadas menciona la recopilación de datos en sus políticas de privacidad. No obstante, el hecho de que exista una cláusula legal no implica que el usuario comprenda el alcance real del tratamiento: estos textos suelen redactarse en lenguaje jurídico complejo y con formulaciones muy amplias, difíciles de interpretar para la mayoría.
En el caso de Similarweb, la empresa afirma que seudonimiza u “anonimiza” los datos en el lado del cliente, pero reconoce en su propia política que la información recopilada puede incluir datos personales y confidenciales, en función de las búsquedas y del contenido consultado. Además, en su documentación financiera (27 de febrero de 2025) se señala que parte de su plataforma de inteligencia de mercado se alimenta precisamente de datos recolectados a través de extensiones de navegador y aplicaciones móviles.
Este modelo convierte de facto muchas extensiones en canales de exfiltración de datos al servicio de negocios de analítica comercial y de marketing. La idea de que, cuando un servicio es gratuito y cerrado, el producto suele ser el propio usuario, encuentra aquí un ejemplo especialmente claro.
Riesgos de privacidad y recomendaciones de ciberseguridad para usuarios y empresas
Impacto en la privacidad individual y la seguridad corporativa
El acceso continuo al historial de navegación permite construir perfiles detallados de los usuarios: intereses, sector profesional, nivel de renta aproximado, ideología o hábitos de consumo. El tipo de sitios visitados puede revelar también información médica, financiera o personal extremadamente sensible.
En entornos empresariales y gubernamentales, este tipo de tracking facilita inferir patrones de trabajo, proveedores críticos, herramientas internas e incluso posibles proyectos en curso, lo que crea una superficie de exposición relevante para espionaje industrial o ataques dirigidos (por ejemplo, campañas de phishing altamente personalizadas).
Buenas prácticas para endurecer la seguridad del navegador
Para reducir estos riesgos, se recomiendan las siguientes medidas de ciberseguridad:
• Realizar auditorías periódicas de extensiones en todos los navegadores corporativos y personales, eliminando todo complemento innecesario.
• Revisar con detalle los permisos solicitados, especialmente acceso a history, tabs y webRequest, y denegar o desinstalar las extensiones que no justifiquen claramente su necesidad.
• Priorizar el uso de extensiones de código abierto (open source), cuyo código pueda ser auditado por la comunidad o por equipos internos de seguridad.
• Limitar o prohibir el uso de extensiones en navegadores utilizados para acceder a sistemas internos, empleando un navegador separado o un perfil aislado para cualquier complemento de riesgo.
• Definir políticas de higiene digital en la organización, incluyendo formación específica sobre riesgos de extensiones y revisión obligatoria antes de su uso en entornos críticos.
La identificación masiva de extensiones de Chrome que recopilan el historial de navegación pone de relieve lo difusa que puede ser la línea entre una herramienta útil y un verdadero sistema de vigilancia del usuario. Evaluar críticamente cada extensión, entender qué datos puede acceder y adoptar prácticas básicas de ciberseguridad son pasos imprescindibles para cualquier persona u organización que quiera mantener el control sobre su privacidad y sus activos digitales.
