Enciendo el PC, abro Chrome y, al cabo de un rato, aparece publicidad cubriendo mis páginas favoritas. El antivirus no dice nada. ¿Qué está pasando?
Son señales de que una de las extensiones que tengo instaladas en Google Chrome se ha pasado “al lado oscuro”, esto es, que alguien malintencionado ha tomado el control de una extensión y la ha convertido en malware.
Te cuento cómo ocurre esto, qué hace Google para prevenir el problema y qué puedes hacer tú para defenderte.
De extensión popular a malware en cuestión de horas
Crear extensiones es tan fácil que en el Chrome Web Store hay decenas de miles. Pueden ser muy poderosas: entre otras cosas, las extensiones pueden almacenar datos en tu ordenador y modificar el aspecto de las páginas que visitas. Por eso Google las controla y elimina las que considera dañinas (menos del 1%). En este sentido, bajar extensiones es seguro, pero hay algo que Google no ha tenido en cuenta: ¿qué pasa si una extensión cambia de manos?
Recientemente, dos extensiones fueron vendidas y convertidas en adware: cuando los usuarios navegaban, las extensiones malignas inyectaban publicidad de forma molesta. Google se enteró y borró las extensiones, pero no de inmediato: más de 30.000 usuarios quedaron afectados. Si una extensión que ha pasado todos los controles de seguridad de Google es comprada por alguien malintencionado, el resultado puede ser desastroso.
Hay decenas de miles de extensiones; los cambios de propiedad no están supervisados
Los autores de extensiones exitosas reciben continuamente ofertas de gente que quiere comprar datos de usuarios, reemplazar anuncios por otros o generar tráfico fantasma para determinados sitios web. Algunos incluso ofrecen dinero para comprar la extensión entera y cambiar su código.
Todo ello tiene un solo objetivo: ganar dinero de forma deshonesta. Y al ser actualizadas de forma automática y silenciosa, las extensiones maliciosas se propagan en muy poco tiempo -como un virus-.
¿Cómo se defiende Google Chrome?
Google Chrome se creó desde el principio para ser un navegador muy seguro. Las pestañas cargan las páginas en espacios aislados de los que nada dañino puede salir, y el navegador actualiza una lista negra de sitios peligrosos cada vez que se inicia. Las extensiones, por otro lado, deben dejar claras sus intenciones a la hora de acceder a tus datos, y son desactivadas si requieren permisos diferentes tras una actualización.
Conforme extensiones y apps de Chrome se han vuelto más importantes, Chrome ha ido fortaleciendo la seguridad de las mismas. Toda extensión, por ejemplo, debe declarar qué tipo de permisos requiere para efectuar sus funciones. Esta seguridad ha ido evolucionando con los años, y ahora las extensiones ya no pueden instalarse sin que te des cuenta. Desde enero de 2014 tampoco puedes instalar extensiones que no estén en Chrome Web Store, la tienda oficial.
Google quiere bloquear la instalación manual de extensiones en Chrome
Qué puedes hacer tú para defenderte
Al dificultar la instalación de extensiones que están fuera del Chrome Web Store, Google ha creado una primera línea de defensa. Al mismo tiempo, sus controles de seguridad hacen que una extensión maliciosa no se quede mucho tiempo en el Web Store. Aun así, si no quieres encontrarte con sorpresas, te conviene tomar precauciones.
Lo primero que te recomiendo es instalar la extensión Extensions Update Notifier, que te indica cuándo se ha actualizado una extensión que tienes instalada en tu equipo. Esto puede ayudarte a identificar la extensión maliciosa de turno, que puedes denunciar ante Google usando el formulario de contacto que hay aquí.
Extensions Update Notifier te avisa cada vez que una extensión es actualizada
Si aparece publicidad inesperada al navegar, carga el navegador en Modo Incógnito: al navegar sin las extensiones puedes confirmar si el problema viene de Chrome o tiene otro origen. Si una extensión que has eliminado vuelve una y otra vez, estás ante malware externo que invade el navegador (en ese caso, necesitas un antivirus).
Reseñas como estas en extensiones populares deben ponerte sobre aviso (fuente)
Finalmente, te sugiero que a la hora de instalar extensiones nuevas en Chrome desconfíes de la cantidad de estrellas y te fijes en los comentarios que aparecen en la pestaña de Reseñas de la tienda: te indicarán cuál es el estado actual de la extensión y su fiabilidad. Si hay una ristra de puntuaciones de una estrella, déjala estar.
¿Y si volvemos a Firefox?
Chrome se ha vuelto como un sistema ubicuo, capaz de hacernos olvidar las aplicaciones de escritorio. Un sistema capaz de instalarse dentro de otros y conquistarlos sin que puedan oponerse. Pero su éxito ha llevado también a una mayor atención por parte de los cibercriminales. Consciente de esto, Google se ha preocupado por reforzar la seguridad, pero al mismo tiempo ha cerrado la puerta a todo lo que está fuera de Chrome Web Store.
La decisión de cerrar Chrome a las extensiones que se encuentran fuera del Chrome Web Store aumenta mucho la seguridad de Chrome, pero es polémica: hace que Google se parezca más a Apple, con su mercado de aplicaciones cerrado y su férreo control sobre lo que los usuarios pueden instalar; a mayor seguridad, menor libertad. Pero nada de todo esto evita la reventa de extensiones y su posterior conversión a adware.
A la vista de lo que está pasando con las extensiones de Chrome, volver a Firefox es una opción cada vez más atractiva. Parece ser que el navegador de Mozilla es bastante más seguro a la hora de gestionar las extensiones, con controles efectuados por el equipo de Mozilla para que no se cuele nada extraño o peligroso. Además, Firefox permite deshabilitar por completo las actualizaciones automáticas de las extensiones.
