Mozilla implementará un sistema de divulgación obligatoria sobre prácticas de recopilación y transferencia de datos en extensiones de Firefox. A partir del 3 de noviembre de 2025, los nuevos complementos deberán declarar claramente qué categorías de datos procesan; el requisito se hará obligatorio para todos en la primera mitad de 2026. El objetivo es elevar la transparencia, fortalecer el control del usuario y reducir riesgos asociados al uso de complementos con amplios privilegios.
Qué cambia en manifest.json y cómo funcionará el consentimiento en Firefox
Los desarrolladores deberán añadir al manifest.json el parámetro browser_specific_settings.gecko.data_collection_permissions, listando con precisión las categorías de datos tratadas: nombre, correo electrónico, consultas de búsqueda, así como sitios visitados y actividad del navegador. Si la extensión no realiza seguimiento ni recopila información, deberá indicarlo de forma explícita.
Firefox extraerá automáticamente estas metadatos y las mostrará durante la instalación junto a los permisos solicitados. La misma información aparecerá en la ficha de la extensión en addons.mozilla.org y en el apartado “Permissions and Data” de about:addons. El usuario podrá aceptar o rechazar la recopilación, de manera análoga a los avisos de permisos actuales, aportando un consentimiento informado y granular.
Calendario, moderación y alcance para desarrolladores
El despliegue comenzará con nuevas extensiones. Los complementos existentes deberán cumplir cuando migren al marco actualizado y publiquen una versión nueva. Los paquetes sin la declaración o con datos inexactos no superarán la revisión editorial y serán devueltos con indicación de errores. En la práctica, esto exige revisar pipelines de publicación y pruebas automatizadas para validar el campo data_collection_permissions antes de enviar builds a AMO.
Relevancia para la ciberseguridad: menos asimetría, menos riesgo
Las extensiones operan cerca de la superficie más sensible del navegador: contenido web, historial y elementos de interfaz. La obligación de declarar categorías y obtener consentimiento explícito reduce el riesgo de exfiltración, tracking y abuso de privilegios, y se alinea con principios regulatorios como data minimization y transparencia del GDPR (art. 5 y 13; ver gdpr-info.eu).
La medida también armoniza a Firefox con prácticas del mercado: Chrome Web Store exige divulgación del uso de datos y restricciones sobre su venta/transferencia (política de datos de usuario), y Apple introdujo “etiquetas de privacidad” en 2020 (App Privacy). Estas iniciativas mejoran la capacidad del usuario para evaluar riesgos antes de instalar.
Lecciones del mercado y casos reales de fuga
El caso DataSpii (2019) demostró cómo extensiones populares podían filtrar datos de navegación y documentos corporativos a intermediarios analíticos; millones de usuarios se vieron afectados. La investigación sigue disponible en dataspii.com y fue ampliamente documentada por medios especializados. Herramientas como CRXcavator de Duo Security (crxcavator.io) muestran además que numerosas extensiones solicitan permisos excesivos respecto a su función declarada, elevando la superficie de ataque.
Recomendaciones para usuarios, CISOs y equipos de TI
Usuarios: revise siempre la tarjeta de la extensión y la pantalla de instalación. Si una extensión pide acceso a historial o búsquedas, verifique que tenga sentido con la funcionalidad. Si las categorías de datos no encajan con el propósito, no instale o deniegue el consentimiento. Audite periódicamente “Permissions and Data” en about:addons y elimine complementos que acumulen permisos innecesarios.
Seguridad y TI: actualice políticas internas para incluir la revisión de data_collection_permissions en el proceso de evaluación. Defina categorías de datos permitidas por rol/unidad, establezca listas de allow/deny y automatice el inventario de extensiones mediante las enterprise policies del navegador. Integre controles en CI/CD para bloquear builds que omitan la declaración o reclamen datos fuera de política, y exija a proveedores documentación de propósito, retención y terceros con quienes se comparte información.
Impacto esperado en la ecosistema de Firefox
La iniciativa reforzará la confianza en la plataforma, fomentará el principio de mínimo privilegio y reducirá la probabilidad de perfilado encubierto. Para los desarrolladores, el cambio incentiva arquitecturas que minimicen la recopilación y racionalicen los permisos; para los usuarios, aporta información accionable en el momento clave: antes de instalar.
En los próximos meses conviene seguir las actualizaciones de documentación y reglas de moderación de Mozilla, auditar las extensiones instaladas y adoptar una estrategia de menor exposición: permisos mínimos, revisiones periódicas y eliminación de complementos superfluos. Para desarrolladores, el mensaje es claro: documentar, justificar y minimizar los datos. La transparencia ya no es opcional; es parte del diseño seguro.
