{"id":1509466,"date":"2024-12-30T12:28:33","date_gmt":"2024-12-30T12:28:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/cuando-las-buenas-extensiones-se-vuelven-malas-conclusiones-de-la-campana-dirigida-a-las-extensiones-del-navegador\/"},"modified":"2024-12-30T12:28:38","modified_gmt":"2024-12-30T12:28:38","slug":"cuando-las-buenas-extensiones-se-vuelven-malas-conclusiones-de-la-campana-dirigida-a-las-extensiones-del-navegador","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cuando-las-buenas-extensiones-se-vuelven-malas-conclusiones-de-la-campana-dirigida-a-las-extensiones-del-navegador\/","title":{"rendered":"Cuando las buenas extensiones se vuelven malas: conclusiones de la campa\u00f1a dirigida a las extensiones del navegador"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>30 de diciembre de 2025<\/span>\ue804<\/i>Las noticias de los piratas inform\u00e1ticos<\/span><\/span>Seguridad del navegador\/Seguridad GenAI<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Las noticias han aparecido en los titulares durante el fin de semana sobre la extensa campa\u00f1a de ataque dirigida a las extensiones del navegador e inyect\u00e1ndoles c\u00f3digo malicioso para robar las credenciales de los usuarios. Actualmente, se ha descubierto que m\u00e1s de 25 extensiones, con una base instalada de m\u00e1s de dos millones de usuarios, est\u00e1n comprometidas y los clientes ahora est\u00e1n trabajando para determinar su exposici\u00f3n (LayerX, una de las empresas involucradas en la protecci\u00f3n contra extensiones maliciosas, ofrece una extensi\u00f3n gratuita). servicio para auditar y remediar la exposici\u00f3n de las organizaciones: para registrarse, haga clic aqu\u00ed<\/a>).<\/p>\n

Si bien este no es el primer ataque dirigido a extensiones de navegador, el alcance y la sofisticaci\u00f3n de esta campa\u00f1a son un paso significativo en t\u00e9rminos de las amenazas que representan las extensiones de navegador y los riesgos que representan para las organizaciones.<\/p>\n

Ahora que se han publicado los detalles del ataque, los usuarios y las organizaciones deben evaluar su exposici\u00f3n al riesgo de este ataque y de las extensiones del navegador en general. Este art\u00edculo tiene como objetivo ayudar a las organizaciones a comprender el riesgo que representan las extensiones del navegador, las implicaciones de este ataque y los pasos pr\u00e1cticos que pueden tomar para protegerse (para obtener una descripci\u00f3n general detallada, consulte un gu\u00eda detallada<\/a> sobre protecci\u00f3n contra extensiones de navegador maliciosas).<\/p>\n

Las extensiones del navegador son la parte m\u00e1s vulnerable de la seguridad web<\/h2>\n

Las extensiones del navegador se han convertido en una parte omnipresente de la experiencia de navegaci\u00f3n y muchos usuarios suelen utilizarlas para corregir la ortograf\u00eda, buscar cupones de descuento, fijar notas y otros usos de productividad. Sin embargo, la mayor\u00eda de los usuarios no se dan cuenta de que a las extensiones del navegador se les conceden habitualmente amplios permisos de acceso que pueden provocar una grave exposici\u00f3n de los datos si esos permisos caen en las manos equivocadas.<\/p>\n

Los permisos de acceso comunes solicitados por las extensiones incluyen el acceso a datos confidenciales del usuario, como cookies, identidades, datos de navegaci\u00f3n, entrada de texto y m\u00e1s, lo que puede provocar la exposici\u00f3n de datos en el punto final local y el robo de credenciales de las identidades de los usuarios.<\/p>\n

Esto es particularmente un riesgo para las organizaciones, ya que muchas organizaciones no controlan qu\u00e9 extensiones de navegador instalan los usuarios en sus terminales, y el robo de credenciales de una cuenta corporativa puede provocar exposici\u00f3n y una violaci\u00f3n de datos a nivel organizacional.<\/p>\n

Una amenaza nueva y m\u00e1s peligrosa:<\/h2>\n

Aunque las consecuencias de esta campa\u00f1a de ataque a\u00fan se est\u00e1n desarrollando y a\u00fan se est\u00e1n descubriendo extensiones comprometidas, hay una serie de conclusiones que ya se pueden observar:<\/p>\n

    \n
  1. Las extensiones del navegador se est\u00e1n convirtiendo en una importante amenaza<\/strong>. Esta campa\u00f1a dirigida a m\u00faltiples extensiones demuestra que los piratas inform\u00e1ticos se est\u00e1n dando cuenta del amplio acceso otorgado a muchos permisos y de la falsa sensaci\u00f3n de seguridad con la que operan muchos usuarios, y est\u00e1n apuntando expl\u00edcitamente a las extensiones del navegador como veh\u00edculos para el robo de datos.<\/li>\n
  2. Las extensiones GenAI, Productividad y VPN fueron el objetivo particular<\/strong>: La lista de extensiones afectadas indica que las extensiones que se ocupan de VPN, procesamiento de datos (como la toma de notas o la seguridad de los datos, o extensiones habilitadas para IA) fueron el objetivo principal. Es demasiado pronto para decir si esto se debe a que estas extensiones tienden a ser m\u00e1s populares (y por lo tanto m\u00e1s atractivas para un atacante en t\u00e9rminos de alcance) o a los permisos que se otorgan a estas extensiones y que los atacantes quieren explotar.<\/li>\n
  3. Las extensiones p\u00fablicas en Chrome Store est\u00e1n expuestas<\/strong>. Parece que las extensiones se vieron comprometidas como resultado de una campa\u00f1a de phishing dirigida a los editores de extensiones del navegador en Chrome Web Store. Los detalles sobre a qui\u00e9n dirigirse aparentemente se recopilaron de la propia tienda web, que incluye detalles del autor de la extensi\u00f3n, incluida su direcci\u00f3n de correo electr\u00f3nico. Si bien Chrome Web Store es la fuente de extensiones m\u00e1s conocida, no es la \u00fanica y algunas extensiones de nivel empresarial se implementan directamente. <\/li>\n<\/ol>\n

    C\u00f3mo proteger su organizaci\u00f3n:<\/h2>\n

    Si bien muchos usuarios y organizaciones no son conscientes de los riesgos potenciales asociados con las extensiones del navegador, existen una serie de acciones clave que pueden tomar para protegerse:<\/p>\n

      \n
    1. Auditar todas las extensiones<\/strong>: Muchas organizaciones no tienen una imagen completa de todas las extensiones instaladas en su entorno. Muchas organizaciones permiten a sus usuarios utilizar cualquier navegador (o navegadores) que deseen utilizar e instalar las extensiones que deseen. Sin embargo, sin una imagen completa de todas las extensiones en todos los navegadores de todos los usuarios, es imposible comprender la superficie de amenazas de su organizaci\u00f3n. Es por eso que una auditor\u00eda completa de todas las extensiones del navegador es un requisito fundamental para protegerse contra extensiones maliciosas.<\/li>\n
    2. Categorizar extensiones<\/strong>: Como lo demuestra esta campa\u00f1a de ataque, dirigida principalmente a extensiones de productividad, VPN y IA, algunas categor\u00edas de extensiones son m\u00e1s susceptibles a la vulnerabilidad que otras. Parte de esto se debe a la popularidad de ciertos tipos de extensiones que las hace atractivas para los ataques debido a su amplia base de usuarios (como varias extensiones de productividad), y en parte a los permisos otorgados a dichas extensiones, que los piratas inform\u00e1ticos pueden desear exploit (como el acceso a la red y a los datos de navegaci\u00f3n proporcionados a las extensiones VPN, por ejemplo). Es por eso que categorizar las extensiones es una pr\u00e1ctica \u00fatil para evaluar la postura de seguridad de las extensiones del navegador.<\/li>\n
    3. Enumerar permisos de extensi\u00f3n<\/strong>: Mientras entendemos cual<\/em> Las extensiones instaladas en entornos corporativos son una cara de la moneda, la otra cara de la moneda es la comprensi\u00f3n. qu\u00e9<\/em> esas extensiones pueden hacer. Esto se hace enumerando sus permisos de acceso precisos y enumerando toda la informaci\u00f3n a la que potencialmente pueden acceder.<\/li>\n
    4. Evaluar el riesgo de extensi\u00f3n<\/strong>: Una vez que comprenden qu\u00e9 permisos han instalado en los puntos finales corporativos y la informaci\u00f3n que estas extensiones pueden acceder (a trav\u00e9s de sus permisos), las organizaciones deben evaluar el riesgo que representa cada extensi\u00f3n individual. Una evaluaci\u00f3n de riesgos integral debe abarcar tanto el alcance del permiso de la extensi\u00f3n (es decir, lo que puede hacer), como tambi\u00e9n par\u00e1metros externos como su reputaci\u00f3n, popularidad, editor, m\u00e9todo de instalaci\u00f3n y m\u00e1s (es decir, cu\u00e1nto confiamos en ella). . Estos par\u00e1metros deben combinarse en una puntuaci\u00f3n de riesgo unificada para cada extensi\u00f3n.<\/li>\n
    5. Aplicar una aplicaci\u00f3n de la ley adaptativa y basada en el riesgo<\/strong>: Finalmente, teniendo en cuenta toda la informaci\u00f3n que tienen a mano, las organizaciones deben aplicar pol\u00edticas de cumplimiento adaptativas y basadas en riesgos adaptadas a sus usos, necesidades y perfil de riesgo. Pueden definir pol\u00edticas para bloquear extensiones que tienen ciertos permisos (por ejemplo, acceso a cookies) o definir reglas m\u00e1s complejas adaptadas a su caso de uso espec\u00edfico (por ejemplo, bloquear extensiones de IA y VPN con una puntuaci\u00f3n de riesgo “alto”). <\/li>\n<\/ol>\n

      Si bien las extensiones de navegador ofrecen muchos beneficios de productividad, tambi\u00e9n ampl\u00edan la superficie de amenazas y el riesgo de exposici\u00f3n de las organizaciones. La reciente campa\u00f1a de ataque dirigida a extensiones de navegador con c\u00f3digo malicioso deber\u00eda ser una llamada de atenci\u00f3n para que las organizaciones definan su enfoque para protegerse contra extensiones de navegador maliciosas y comprometidas.<\/p>\n

      haga clic aqu\u00ed<\/a> para descargar una gu\u00eda completa sobre protecci\u00f3n contra extensiones de navegador maliciosas para ayudar a las organizaciones a comprender completamente la amenaza, por qu\u00e9 las soluciones existentes no brindan una cobertura adecuada y c\u00f3mo pueden protegerse.<\/p>\n

      <\/p>\n

      \u00bfEncontr\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n