Actualizado para 2026
La mayoría de las extensiones de IA nunca se auditan
El Chrome Web Store aloja más de 180.000 extensiones de navegador. Muchas de ellas — principalmente herramientas de IA — solicitan acceso amplio. Leen cada página que visitas. Ven tu portapapeles. Pueden bloquear o modificar solicitudes de red.
USENIX Security 2025 encontró que el 83 % de las extensiones de Chrome con permisos amplios nunca han sido auditadas. Los desarrolladores las crearon, las publicaron y los usuarios las instalaron por millones. Nadie comprobó si cada herramienta hace solo lo que afirma hacer.
Esa brecha es estructural. El Chrome Web Store analiza malware conocido. Verifica reglas de políticas. No puede confirmar si la recopilación de datos está completamente divulgada. No puede detectar si los datos fluyen a terceros ocultos.
La mitad de los empleados empresariales usan herramientas no aprobadas
El Informe de Seguridad de Navegador Empresarial LayerX 2025 encontró que el 45 % de los empleados empresariales usa extensiones de navegador que TI nunca aprobó. El patrón es común. Un empleado encuentra una herramienta útil. La instala. TI nunca se entera.
Combina el 83 % no auditado con el 45 % no aprobado. Casi la mitad de los empleados empresariales pueden estar usando herramientas cuya seguridad nunca se verificó. Esos empleados manejan datos corporativos sensibles cada día.
Para sectores regulados, el riesgo es directo. Un empleado de RRHH que usa una herramienta no verificada que lee el portapapeles puede haber enviado datos personales a una parte desconocida. Un abogado que usa una herramienta de escritura IA no verificada puede haber enviado datos de clientes a una parte desconocida. Consulta nuestra guía de cumplimiento legal para ver cómo estos riesgos se relacionan con el RGPD, HIPAA y marcos similares.
Lo que muestra el incidente de 900.000 usuarios
Un incidente reportado a principios de 2026 muestra el modo de fallo. Extensiones maliciosas de Chrome expusieron los registros de chat de IA de unos 900.000 usuarios. Alrededor de 600.000 provenían de una herramienta. Unos 300.000 de otra. Ambas parecían ofrecer funciones de IA reales. Ambas estaban en el Chrome Web Store. Ambas tenían grandes bases de usuarios.
El robo de datos fue completo en 30 minutos tras la instalación. Cuando los investigadores encontraron las herramientas, casi un millón de usuarios ya habían perdido el control de su historial de chat de IA, incluyendo cualquier contenido sensible que hubieran escrito.
El estudio de Incogni 2025 encontró que el 67 % de las extensiones de Chrome de IA recopilan datos de usuarios. Las prácticas de recopilación, la divulgación y los destinos de datos varían ampliamente. Consulta nuestra descripción general de seguridad y cumplimiento para ver cómo los controles a nivel de navegador se comparan con confiar en el comportamiento de cada herramienta.
Un marco de gobernanza empresarial
Bloquear todas las extensiones de navegador no es realista. El costo es demasiado alto. La respuesta correcta es un marco de gobernanza que limite la exposición a herramientas verificadas y aprobadas — principalmente para uso de IA.
Lista de extensiones permitidas. Define qué extensiones están permitidas en los dispositivos empresariales. Requiere una revisión de seguridad antes de agregar cualquier herramienta nueva. Usa la política de Chrome Enterprise para bloquear instalaciones fuera de la lista aprobada.
Revisión más estricta para herramientas de IA. Cualquier extensión que maneja prompts de IA recibe escrutinio adicional. Verifica el tráfico de red para ver adónde van los datos. Revisa el alcance completo de los permisos. Verifica la identidad del editor.
Controles a nivel de navegador. Para herramientas de IA aprobadas, aplica controles que intercepten contenido sensible antes de que llegue a los proveedores de IA. Esto elimina la necesidad de confiar en el comportamiento de cada extensión.
La tasa del 83 % no auditado no es un problema que los usuarios puedan resolver. Los usuarios no pueden auditar las extensiones de Chrome por sí mismos. La gobernanza empresarial — listas aprobadas, aplicación de políticas y controles técnicos — es la respuesta confiable. Consulta nuestras preguntas frecuentes y el glosario de términos DLP de navegador para más información.
La extensión Chrome de anonym.legal ejecuta el escaneo de PII localmente en el navegador. Ningún contenido de chat llega a los servidores de anonym.legal durante el escaneo. El prompt modificado y enmascarado es lo que se envía al servicio de IA.