Microsoft prepara una nueva función de seguridad para Edge que permitirá detectar y revocar extensiones maliciosas instaladas fuera de la tienda oficial (sideload). El despliegue está previsto para noviembre de 2025 en todas las instancias globales multitenant. Aunque la compañía no ha publicado los detalles técnicos, la medida aborda un vector de ataque recurrente que facilita la comprometación del navegador y el robo de datos.
Por qué las extensiones sideload son un riesgo en entornos corporativos y domésticos
Como en otros navegadores, Edge permite la instalación local de extensiones para pruebas mediante el modo desarrollador y la opción Load unpacked. Este flujo es útil para desarrollo, pero evita los controles del marketplace (revisión, reputación del editor y política de permisos), elevando la probabilidad de introducir código malicioso.
Aun si el complemento sospechoso se elimina después, el daño puede estar hecho: exfiltración de tokens de sesión, inyección de scripts, manipulación de contenido y captura de formularios son acciones que pueden ejecutarse de inmediato y sin señales visibles. Los atacantes suelen camuflar las funciones nocivas bajo utilidades aparentemente legítimas para ganar confianza.
La magnitud del problema: incidentes documentados y cifras
Investigaciones independientes han evidenciado campañas de gran alcance con extensiones. Awake Security reportó en 2020 más de 100 extensiones maliciosas para Chrome, con 32 millones de instalaciones en conjunto (fuente: Awake Security). En 2022, McAfee identificó varias extensiones que alcanzaron alrededor de 1,4 millones de instalaciones (fuente: McAfee Labs). Estos casos demuestran que la ingeniería social y los canales no oficiales pueden impactar masivamente, incluidas organizaciones con políticas estrictas.
Qué se sabe de la nueva protección en Edge para el sideload malicioso
Microsoft indica que Edge será capaz de detectar y revocar extensiones maliciosas instaladas localmente. La “revocación” previsiblemente implicará la desactivación forzosa y el bloqueo de su reactivación. Aunque no se han divulgado algoritmos, la iniciativa es consistente con el refuerzo reciente del ecosistema de extensiones del navegador.
Mecanismos probables de detección y respuesta
Sin detalles internos públicos, cabe anticipar una combinación de enfoques: listas de bloqueo y fuentes de reputación (firmas, hashes y editor), análisis de comportamiento (indicadores de exfiltración, inyección y solicitudes anómalas), evaluación de permisos frente a perfiles típicos y telemetría con heurísticas para patrones sospechosos. En el ámbito corporativo, una integración con políticas de Microsoft 365, GPO o Intune facilitaría el control centralizado y la aplicación de allowlists.
Refuerzo del ecosistema de extensiones en Microsoft Edge
En los últimos meses, Microsoft ha endurecido el ciclo de vida de las extensiones: Publish API para desarrolladores, verificaciones adicionales de cuentas y del proceso de actualización, y pruebas de alertas sobre extensiones que degradan el rendimiento de Edge. Estos controles reducen la exposición a código malicioso y aportan mayor transparencia a usuarios y administradores.
Recomendaciones prácticas para mitigar riesgos hoy
- Evitar el modo desarrollador y la instalación de complementos fuera de Microsoft Edge Add-ons.
- Revisar permisos y reputación del editor; eliminar extensiones no utilizadas.
- En empresas, aplicar GPO/Intune para deshabilitar sideload y mantener allowlists de extensiones aprobadas.
- Actualizar navegador y sistema operativo; activar SmartScreen y aislamiento de sitios.
- Desplegar EDR/antimalware con visibilidad sobre inyecciones en navegadores y tráfico anómalo.
- Formar a la plantilla para detectar ingeniería social y campañas que distribuyen “extensiones útiles”.
El plan de Microsoft para detectar y revocar automáticamente extensiones maliciosas por sideload cierra una vía habitual de intrusión. Combinado con controles de publicación y advertencias de rendimiento, puede fortalecer de forma notable la seguridad del navegador. Es recomendable revisar ya la gobernanza de extensiones, restringir el sideload donde sea posible y mantener una lista de confianza. Mantener Edge actualizado y aplicar políticas de seguridad coherentes reducirá de forma sustancial la superficie de ataque.
