Sign in

Extensiones peligrosas en el navegador

Extensiones peligrosas en el navegador

El problema es que muchas extensiones no solo “añaden una función”. Para funcionar, pueden pedir permisos amplios sobre las páginas que visitamos, el contenido que vemos, lo que copiamos, lo que escribimos o las pestañas que tenemos abiertas. En un uso personal ya es un riesgo; en una Universidad, donde el navegador abre correo institucional, campus virtual, documentos compartidos, convocatorias, plataformas de investigación y servicios de gestión, el riesgo crece.

Este tema suele quedar en segundo plano porque las campañas de concienciación hablan mucho de adjuntos, enlaces, contraseñas o redes Wi-Fi, pero menos de las extensiones instaladas “para ir más rápido”. Y, sin embargo, una extensión con demasiados permisos puede ver más de lo que parece, especialmente cuando se usa el mismo navegador para tareas administrativas, docencia, investigación y gestiones personales.

No se trata de desconfiar de todo ni de renunciar a herramientas útiles. Se trata de instalar menos, revisar mejor y pedir ayuda cuando una extensión parece necesaria pero no está clara su procedencia, sus permisos o su comportamiento.

Qué es una extensión de navegador y por qué importa

Una extensión de navegador es un pequeño complemento que añade funciones al navegador. Puede permitir firmar documentos, guardar referencias bibliográficas, traducir páginas, bloquear anuncios, capturar pantallas, revisar gramática, resumir textos, gestionar contraseñas, leer PDF o conectar servicios de IA generativa con lo que estamos viendo en pantalla.

La idea parece sencilla: el navegador hace algo más. Pero, técnicamente, muchas extensiones se colocan justo en medio de nuestra actividad web. Pueden interactuar con las páginas abiertas, modificar contenido, leer formularios, detectar enlaces, gestionar descargas, acceder al portapapeles o comunicarse con servidores externos. La diferencia entre una herramienta legítima y una demasiado intrusiva no siempre se ve a primera vista.

En la práctica, esto significa que una extensión instalada para traducir textos podría tener visibilidad sobre una página del campus virtual; una extensión de captura podría ver una pantalla con información académica; una herramienta de corrección podría analizar texto pegado desde un expediente, una tutoría o un informe; y una extensión de cupones, aunque parezca orientada a compras personales, podría seguir activa mientras se navega por servicios de trabajo.

El riesgo no siempre viene de una extensión abiertamente maliciosa desde el primer día. También puede aparecer cuando una extensión legítima cambia de propietario, incorpora publicidad agresiva, actualiza sus permisos, añade funciones de seguimiento o sufre un fallo de seguridad. Por eso conviene pensar en las extensiones como software instalado, no como simples botones decorativos del navegador.

Por qué afecta especialmente al trabajo del PAS y del PDI

El Personal de Administración y Servicios trabaja a menudo con gestiones que combinan plazos, documentación y datos personales: expedientes, solicitudes, certificados, facturación, convocatorias, becas, movilidad, bibliotecas, compras, RR. HH., atención a usuarios, soporte administrativo y coordinación entre unidades. Muchas de esas tareas se realizan desde el navegador, con documentos abiertos en la nube, correo institucional y formularios internos o externos.

El Personal Docente e Investigador también concentra buena parte de su actividad en el navegador: campus virtual, calificaciones, actas, tutorías, revisiones, plataformas editoriales, gestores bibliográficos, documentación de proyectos, comités, repositorios, videoconferencias, correo, servicios de almacenamiento y herramientas de apoyo a la docencia o a la investigación.

En ambos casos, las extensiones pueden parecer especialmente atractivas porque reducen fricción. Una corrige rápidamente un correo; otra traduce una convocatoria internacional; otra convierte un PDF; otra resume una página larga; otra captura una pantalla para explicar una incidencia; otra promete insertar citas o exportar referencias. La utilidad es real, pero también lo es la exposición si la herramienta no está bien elegida.

La clave está en que el navegador ya no es solo “Internet”. Es el escritorio de trabajo. Desde él se accede a servicios que contienen información académica, administrativa, económica, personal o investigadora. Una extensión con permisos excesivos en ese entorno puede convertirse en un acceso indirecto a información que nunca se habría compartido voluntariamente con un tercero.

Señales útiles y límites: qué debería hacernos parar

Una señal aislada no confirma que una extensión sea maliciosa. Algunas herramientas necesitan permisos amplios para funciones legítimas. Una extensión de captura de pantalla, por ejemplo, puede necesitar acceder a la pestaña activa; una de traducción puede necesitar leer texto; una de accesibilidad puede modificar cómo se muestra una página. El problema aparece cuando los permisos no encajan con la función, cuando cambian sin explicación o cuando no sabemos quién está detrás.

Conviene detenerse si una extensión para cupones, compras o descuentos pide leer y modificar datos de todos los sitios web; si una herramienta de PDF pide acceso permanente a todas las páginas; si una extensión de IA solicita analizar cualquier texto de cualquier pestaña; si una aplicación de corrección gramatical funciona sobre todos los formularios, incluidos los de gestión interna; o si una extensión gratuita exige permisos que parecen desproporcionados para lo que ofrece.

También es una señal que una extensión cambie de nombre, de icono o de comportamiento tras una actualización; que aparezcan anuncios inesperados; que el navegador redirija búsquedas; que surjan ventanas emergentes no habituales; que el rendimiento baje de golpe; que se abran pestañas solas; que se añadan barras o botones desconocidos; o que el navegador pida iniciar sesión de nuevo con demasiada frecuencia en servicios que normalmente mantenían la sesión abierta.

Hay otro indicio más discreto: la extensión deja de ser necesaria, pero sigue instalada. Es frecuente probar una herramienta para una tarea concreta —convertir un PDF, traducir un documento, capturar una pantalla para una reunión— y olvidarla durante meses. Ese olvido es parte del riesgo. Lo que no usamos también puede tener permisos, recibir actualizaciones y seguir activo.

Qué ocurre por dentro del navegador

Cuando una extensión se instala, no queda encerrada en una burbuja. Según los permisos concedidos, puede interactuar con partes sensibles del navegador. Por eso conviene traducir los permisos a consecuencias prácticas.

Leer y cambiar datos de los sitios web puede significar que la extensión ve contenido de páginas abiertas y, en algunos casos, puede modificar lo que aparece. Si estamos en el campus virtual, en un documento compartido o en el correo institucional, esto puede incluir textos, enlaces, campos de formulario o partes de una página que no son públicas.

Acceder a pestañas, historial o actividad de navegación puede revelar hábitos de trabajo: qué servicios se usan, cuándo se accede, qué plataformas intervienen en una gestión, qué editoriales, repositorios o convocatorias se consultan. Aunque no se robe una contraseña, ese patrón puede ser información útil para perfilar a una persona o preparar engaños más creíbles.

Gestionar descargas, portapapeles o ficheros puede afectar a documentos que se abren o se mueven desde el navegador. En un contexto universitario, esto puede rozar expedientes, informes, listados, justificantes, documentos de investigación, anexos de convocatorias o materiales docentes no publicados.

Capturar texto escrito en formularios es especialmente delicado. Algunas extensiones de corrección, traducción o productividad analizan lo que se escribe para ofrecer sugerencias. Si se redacta una tutoría, una respuesta sobre una incidencia, una evaluación, un informe interno o un comentario en una plataforma académica, el texto puede salir del entorno donde creíamos que permanecía.

Conservar sesión no es lo mismo que conservar seguridad. Cuando entramos en un servicio, el navegador puede mantener una sesión abierta mediante cookies u otros mecanismos. Si una extensión accede indebidamente a elementos de la sesión o al contenido de las páginas autenticadas, el problema no depende solo de que la contraseña sea fuerte. El acceso ya está concedido en el navegador.

Qué está en juego en la Universidad

En la Universidad Pontificia Comillas, muchas tareas dependen de una navegación ordenada y fiable. El correo institucional coordina avisos, solicitudes, reuniones, convocatorias, respuestas a estudiantes y comunicaciones con entidades externas. Los documentos compartidos facilitan trabajo colaborativo, pero también concentran borradores, informes, listados y versiones en curso. Las plataformas docentes y de gestión académica reúnen materiales, entregas, calificaciones, actas, tutorías y datos vinculados a la actividad universitaria.

Si una extensión obtiene acceso excesivo o se comporta de forma indebida, lo que está en juego no es solo “el ordenador”. Puede haber exposición de datos personales, pérdida de confidencialidad en procesos administrativos, acceso no autorizado a documentos de investigación, filtración de borradores, manipulación de enlaces, captura de credenciales o uso indebido de sesiones abiertas.

También puede afectar a la confianza. Un correo enviado desde una cuenta comprometida resulta más creíble para compañeros, estudiantes, proveedores o colaboradores. Un documento compartido desde una cuenta legítima puede parecer seguro. Un enlace añadido en una página o en una respuesta puede pasar desapercibido porque llega desde un entorno habitual.

La Universidad gestiona información con distintos niveles de sensibilidad: desde datos públicos hasta documentación interna, datos personales, información académica, procesos de gestión, investigación no publicada o comunicaciones que requieren reserva. Las extensiones deben mirarse con esa misma lógica: no todo complemento sirve para todos los contextos, y no todo permiso es aceptable solo porque la instalación sea rápida.

Lo que ha cambiado en 2025–2026

El riesgo de las extensiones no es nuevo, pero el contexto sí ha cambiado. En 2025–2026 se combinan más trabajo en la nube, más autenticación en el navegador, más herramientas de IA, más servicios conectados entre sí y más presión por ahorrar tiempo. Esa mezcla convierte el navegador en un punto de concentración de actividad universitaria.

IA generativa es tecnología capaz de crear, resumir, traducir o transformar contenido a partir de instrucciones. En extensiones de navegador puede ser útil para resumir páginas o mejorar redacciones, pero también puede implicar que el texto de una pestaña, un correo o un formulario se envíe a un servicio externo para ser procesado.

Robo de sesión es la obtención indebida de elementos que permiten mantener una sesión iniciada sin conocer necesariamente la contraseña. Importa porque muchas tareas se hacen con sesiones ya abiertas en el navegador: correo, documentos, campus virtual y servicios de gestión.

Infostealer es un tipo de software malicioso orientado a robar información del dispositivo o del navegador, como credenciales, cookies, datos guardados o información de formularios. Las extensiones maliciosas o falsas pueden participar en ese tipo de exposición si logran permisos suficientes.

Ingeniería social es la manipulación para que una persona haga algo que no haría con calma: instalar una herramienta, conceder permisos, pegar texto sensible, iniciar sesión en una página falsa o aceptar una solicitud que parece rutinaria. Muchas extensiones peligrosas no fuerzan la entrada: convencen al usuario de que las instale.

QR malicioso es un código QR que dirige a una página fraudulenta o a una descarga no deseada. Aunque parezca un tema distinto, se relaciona con extensiones cuando una página recomienda instalar un complemento “necesario” para ver, traducir, firmar o descargar un supuesto documento.

MFA fatigue es el cansancio o saturación ante avisos repetidos de autenticación multifactor. Si una extensión o una página fraudulenta contribuye a capturar credenciales o a iniciar accesos no autorizados, la persona puede recibir solicitudes insistentes y aceptar una por prisa o confusión.

Datos recientes en contexto

En 2025, Chrome Web Store seguía siendo el mayor ecosistema de extensiones de navegador, con cientos de miles de complementos publicados, lo que hace necesario elegir con prudencia y no instalar por impulso [Google, 2025].

Google informó de que, en 2024, menos del 1 % de las instalaciones de extensiones de Chrome incluyeron malware, aunque ese porcentaje bajo no elimina el riesgo en entornos con información sensible: una sola extensión problemática puede tener mucho alcance si se instala en el navegador de trabajo [Google Security Blog, 2024].

CISA incluyó vulnerabilidades de Chrome explotadas activamente en su catálogo de vulnerabilidades conocidas explotadas durante 2025, recordando que el navegador y su ecosistema deben mantenerse actualizados y tratados como software crítico, no como una herramienta secundaria [CISA, 2025].

La AEPD recuerda que los tratamientos de datos personales deben respetar principios como minimización, confidencialidad y limitación de la finalidad; una extensión con permisos excesivos puede entrar en tensión con esos principios si accede a más información de la necesaria [AEPD, 2025].

ENISA destacó en su panorama de amenazas que la ingeniería social, el robo de credenciales y el abuso de servicios digitales siguen siendo vectores relevantes para organizaciones, algo coherente con el riesgo de instalar herramientas de navegador sin revisar bien su origen y permisos [ENISA, 2025].

Estos datos pueden variar por sector, muestra y metodología. No hay un estudio público reciente que permita afirmar una cifra concreta y fiable sobre cuántos incidentes universitarios se originan específicamente en extensiones de navegador.

Consejos prácticos para reducir el riesgo

  • Instala solo lo necesario. Antes de añadir una extensión, pregúntate si resuelve una necesidad frecuente o solo una tarea puntual. Si era para usarla una vez, es mejor buscar una alternativa temporal aprobada o consultar antes de dejar instalado un complemento permanente.
  • Revisa los permisos como si fueran una autorización de acceso. “Leer y modificar datos de todos los sitios web” no es una frase menor. Significa que la extensión podría actuar sobre muchas páginas, incluidas las de trabajo, así que debe estar muy justificada.
  • Desconfía de las extensiones de cupones, shopping o descuentos en el navegador de trabajo. Aunque parezcan ajenas al entorno universitario, suelen necesitar observar páginas de compra y navegación. En un navegador usado para correo, documentos y campus virtual, no aportan valor profesional y sí aumentan exposición.
  • Separa usos personales y profesionales siempre que sea posible. Usar el mismo perfil de navegador para compras personales, redes sociales, correo institucional y gestión académica mezcla riesgos. Mantener perfiles diferenciados reduce la probabilidad de que una extensión personal vea páginas de trabajo.
  • No pegues información sensible en extensiones de IA, traducción o corrección. Si el texto incluye datos personales, calificaciones, tutorías, informes internos, investigación no publicada o documentación administrativa, trátalo como información que no debe salir del entorno autorizado sin validación.
  • Elimina extensiones que ya no uses. Una revisión mensual de dos minutos puede evitar meses de exposición innecesaria. Si no recuerdas para qué sirve una extensión, quién la instaló o cuándo la usaste por última vez, es una candidata clara a desaparecer.
  • Comprueba el editor, la antigüedad y la reputación. Antes de instalar, revisa quién publica la extensión, si tiene una web reconocible, política de privacidad comprensible, actualizaciones recientes y reseñas coherentes. Muchas descargas no garantizan seguridad, pero la falta de transparencia sí es una mala señal.
  • Evita instalar extensiones sugeridas por páginas desconocidas. Si una web afirma que necesitas un complemento para ver un documento, firmar, descargar, traducir o desbloquear contenido, para y verifica por otra vía. Esa urgencia es una táctica frecuente para instalar software no deseado.
  • Mantén navegador y extensiones actualizados. Las actualizaciones corrigen fallos y reducen exposición. No conviene aplazarlas indefinidamente, especialmente en equipos que se usan para correo, documentación y servicios universitarios.
  • No guardes contraseñas en cualquier navegador o extensión. Si el navegador está lleno de complementos poco revisados, guardar credenciales aumenta el impacto de un problema. Para credenciales, usa las soluciones recomendadas y evita atajos improvisados.
  • Usa el modo incógnito con criterio, no como protección mágica. Puede reducir algunos rastros locales, pero no impide que una extensión autorizada actúe si está permitida en ese modo, ni protege frente a páginas falsas, permisos excesivos o servicios externos.
  • Consulta antes de instalar una extensión que vaya a tocar información universitaria. Cuando una herramienta vaya a leer páginas, documentos, formularios o correos vinculados al trabajo, pedir orientación es más rápido que gestionar después una exposición de datos.

Ejemplos cotidianos donde conviene tener cuidado

Una persona del PAS recibe varios PDF de una convocatoria y busca una extensión para unirlos, comprimirlos o convertirlos. La herramienta pide permiso para leer todos los sitios web y gestionar descargas. Lo que se ve es una ayuda para trabajar más rápido; lo que puede estar pasando es que el complemento adquiere visibilidad sobre páginas y ficheros que no forman parte de esa tarea concreta. En ese caso conviene buscar una solución validada o consultar antes de instalar.

Un docente prepara materiales y usa una extensión de IA para resumir páginas. Después la utiliza, casi sin pensarlo, sobre textos relacionados con evaluaciones, tutorías o correos de estudiantes. Lo que se ve es un resumen útil; lo que puede estar pasando es que parte del contenido se procese fuera del entorno esperado. La medida prudente es no introducir información personal, académica o interna en herramientas no revisadas.

Una investigadora instala una extensión de traducción para leer documentación técnica. Meses después sigue activa mientras consulta borradores, plataformas editoriales o documentos de proyecto. Lo que se ve es una ayuda lingüística; lo que puede estar pasando es que una herramienta pensada para páginas públicas convive con información de investigación todavía no publicada. Revisar cuándo está activa y en qué páginas puede actuar reduce el riesgo.

Un compañero instala una extensión de captura de pantalla para explicar una incidencia. La usa una vez y la olvida. Lo que se ve es una utilidad práctica; lo que puede estar pasando es que queda instalada con permisos que ya no son necesarios. Desinstalar después de usar es una medida sencilla y eficaz.

Qué hacer si ya ha pasado

Si has instalado una extensión y después sospechas que no era fiable, no sigas interactuando con ella. No introduzcas más credenciales, no pegues información sensible y no la uses para abrir documentos de trabajo. Si aparece una página de inicio de sesión inesperada, una petición de permisos extraña o una redirección, detente.

No borres evidencias útiles si puedes evitarlo. Puede ser importante conservar el nombre exacto de la extensión, la tienda o página desde la que se instaló, la hora aproximada, los permisos que pedía, capturas no sensibles del aviso o cualquier mensaje mostrado. Si tienes que hacer capturas, evita incluir datos personales o información confidencial.

Si crees que has introducido la contraseña en una página sospechosa o que una extensión ha podido acceder a credenciales, cambia la contraseña desde un acceso legítimo y conocido, no desde el enlace que provocó la duda. Si hay autenticación multifactor y recibes avisos que no reconoces, no los apruebes.

Avisa pronto. No esperes a confirmar por tu cuenta todo lo ocurrido ni retrases el aviso por vergüenza. Las dudas tempranas permiten revisar mejor el alcance y reducir el impacto. Para comunicar la incidencia o pedir orientación, utiliza el canal oficial: Jira.

Si la extensión estaba instalada también en otros equipos o perfiles sincronizados, indícalo. Algunos navegadores sincronizan extensiones entre dispositivos cuando se usa la misma cuenta de navegador. Esto puede hacer que una instalación aparentemente local aparezca también en otro ordenador.

Privacidad y trato respetuoso

La gestión de este tipo de incidencias debe hacerse con proporcionalidad y respeto. El objetivo no es señalar a nadie por haber instalado una herramienta útil, sino entender qué ha ocurrido, reducir el impacto y evitar que se repita. En muchas ocasiones, la instalación se produce en un contexto de carga de trabajo, presión de plazos o necesidad real de resolver una tarea.

La confidencialidad también importa durante la respuesta. No conviene reenviar capturas con datos personales, compartir sospechas en grupos amplios ni comentar detalles de una posible exposición fuera de los canales adecuados. Cuantas menos copias innecesarias se generen, mejor.

Aprender de estos casos ayuda a toda la comunidad universitaria. Si una extensión resulta confusa, pide permisos excesivos o se promociona de forma engañosa, avisar permite mejorar recomendaciones y prevenir que otras personas caigan en la misma trampa.

Menos extensiones, más control

Las extensiones de navegador son cómodas porque trabajan justo donde trabajamos: en el correo, en los documentos, en el campus virtual, en los formularios y en las páginas que consultamos cada día. Esa cercanía es precisamente lo que exige prudencia. Una extensión innecesaria, abandonada o con permisos excesivos puede ver más de lo que imaginamos.

La buena práctica es sencilla: instalar poco, revisar permisos, separar usos, retirar lo que sobra y consultar cuando una herramienta vaya a tocar información universitaria. La ciberseguridad no consiste en trabajar con miedo, sino en reducir atajos que pueden salir caros.

Ante la duda, para, verifica y pide ayuda. Un minuto antes de instalar puede evitar muchas horas después.

Read next