El Problema de las Extensiones No Auditadas
La Chrome Web Store contiene más de 180,000 extensiones. Muchas de estas extensiones — particularmente aquellas que añaden capacidades de IA a la navegación web — solicitan permisos amplios: acceso a todo el contenido del sitio web, acceso al portapapeles, acceso al almacenamiento y la interceptación de solicitudes de red.
La investigación de USENIX 2025 encontró que el 83% de las extensiones de Chrome con permisos amplios nunca han sido sometidas a una auditoría de seguridad. Estas extensiones fueron creadas, publicadas e instaladas por millones de usuarios sin ninguna verificación independiente de que hacen lo que afirman — y nada más.
La brecha de auditoría de seguridad es una característica estructural de cómo se distribuyen las extensiones del navegador. La Chrome Web Store realiza un escaneo automatizado en busca de firmas de malware y violaciones de políticas, pero el escaneo automatizado no puede evaluar si las prácticas de recopilación de datos de una extensión se divulgan con precisión, si los datos de la API se transmiten a terceros no divulgados, o si la funcionalidad declarada de la extensión es su funcionalidad completa.
La Exposición Empresarial
La investigación de Forrester 2024 encontró que el 45% de los empleados de las empresas utilizan extensiones de navegador no aprobadas por TI. La cifra refleja la forma informal en que las extensiones de navegador son típicamente adoptadas: un empleado encuentra una herramienta de productividad, la instala y la utiliza — sin ninguna interacción con el departamento de TI.
La combinación de un 83% nunca auditado y un 45% no aprobado significa que casi la mitad de los empleados de las empresas están utilizando extensiones cuyas propiedades de seguridad no han sido verificadas por nadie — y cuyo uso no ha sido sancionado por la organización responsable de los datos que esos empleados manejan.
Para las organizaciones en industrias reguladas, esto crea una exposición directa de cumplimiento. Un empleado de recursos humanos que utiliza una extensión de navegador no aprobada que recopila contenido del portapapeles ha expuesto potencialmente datos personales de empleados a un tercero no verificado. Un profesional legal que utiliza un asistente de escritura de IA no aprobado que accede al contenido de la página ha expuesto potencialmente información confidencial del cliente.
Lo que Demuestra el Incidente de 900K Usuarios
El incidente de enero de 2026 en el que extensiones maliciosas de Chrome expusieron los historiales de chat de IA de 900,000 usuarios — 600,000 de una extensión, 300,000 de otra — ilustra el modo de falla que describe la cifra del 83% no auditado.
Las extensiones parecían proporcionar funcionalidad legítima relacionada con la IA. Estaban disponibles en la Chrome Web Store. Tenían bases de usuarios lo suficientemente grandes como para sugerir legitimidad. Y estaban exfiltrando contenido de conversaciones de IA a servidores externos.
La exfiltración se completó en 30 minutos desde la instalación. Para cuando los investigadores de seguridad identificaron e informaron sobre las extensiones, el contenido de conversación de 900,000 usuarios — incluyendo cualquier información sensible que esos usuarios habían discutido con herramientas de IA — había salido de su control.
La investigación de Caviard.ai (2025) encontró que el 67% de las extensiones de Chrome de IA recopilan datos de usuarios — la mayoría de la categoría de extensiones de IA. De aquellas que recopilan datos, la divulgación, las prácticas de seguridad y los destinos de transmisión varían enormemente.
El Marco de Gobernanza del Navegador Empresarial
Para los equipos de seguridad empresarial, la respuesta adecuada al problema de las extensiones no auditadas no es prohibir todas las extensiones de navegador — el impacto operativo de ese enfoque es significativo. Es establecer un marco de gobernanza que limite la exposición a extensiones auditadas y aprobadas específicamente para funcionalidad de IA.
Lista blanca de extensiones: Definir la lista aprobada de extensiones de navegador para dispositivos empresariales. Revisión del equipo de seguridad antes de la adición a la lista. La aplicación de políticas de Chrome Enterprise previene la instalación de extensiones no incluidas en la lista blanca.
Evaluación específica de extensiones de IA: Las extensiones que procesan solicitudes de IA reciben un escrutinio adicional — análisis del tráfico de red para confirmar destinos de transmisión, revisión del alcance de permisos y verificación de la identidad del editor.
Controles técnicos para contenido de IA: Para los empleados que utilizan herramientas de IA aprobadas, los controles técnicos a nivel de navegador (en lugar de confiar en el comportamiento de la extensión) interceptan contenido sensible antes de que llegue a los proveedores de IA. Esto desacopla la obligación de seguridad de la confianza en extensiones individuales.
La tasa del 83% no auditada no es abordable a través de la educación del usuario — los usuarios no pueden auditar extensiones de Chrome por sí mismos. Es abordable a través de la gobernanza empresarial que separa lo aprobado de lo no aprobado, y a través de controles técnicos que proporcionan protección de datos independientemente del comportamiento de la extensión.
Fuentes:
- USENIX Security 2025: "No tengo idea de cómo hacerlo más seguro" — Mentalidades de Seguridad de Desarrolladores de Extensiones de Navegador
- LayerX 2025: Informe de Seguridad de Extensiones de Navegador Empresarial — uso generalizado de extensiones no aprobadas
- Incogni 2025: El 67% de las extensiones de Chrome de IA recopilan datos de usuarios