Es posible que tengas instalada una extensión en tu navegador que esté utilizando tu ordenador para realizar actividades no autorizadas. No me refiero a un virus o malware en sí. Me refiero a extensiones que parecen inofensivas pero que, sin tu conocimiento, se conectan a sitios web, recopilan datos y realizan scraping utilizando tus recursos, tu conexión e incluso tu identidad digital.
En este artículo te mostraré cómo se produce este tipo de abuso, cómo detectarlo y, sobre todo, cómo protegerte mientras sigues usando tus extensiones preferidas.
¿Qué es el scraping desde el navegador y por qué debería preocuparte?
Seguramente has oído acerca del web scraping, una técnica que utilizan muchas empresas para extraer grandes cantidades de información de páginas web. En muchos casos, esto es legal y se realiza desde servidores propios. Sin embargo, algunas compañías han encontrado un atajo preocupante: aprovechar las extensiones instaladas por los usuarios para realizar este trabajo desde miles de ordenadores personales.
¿Cómo lo llevan a cabo? Muy sencillo. Al instalar una extensión que promete, por ejemplo, cambiar el fondo de pantalla o alertarte sobre ofertas, podrías estar otorgándole permisos avanzados como “leer y modificar todos los datos de los sitios web que visitas”. Con dicho acceso, la extensión puede hacer solicitudes web como si fueras tú, recopilando información que luego es entregada a terceros. Gracias a estos permisos, pueden utilizar tu navegador como si fueras tú quien realiza esas solicitudes, eludiendo bloqueos o restricciones de los sitios web.
Esto conlleva varias consecuencias:
- Podrías experimentar un impacto directo en el rendimiento de tu equipo. Un proceso de scraping oculto puede hacer que el uso de tu CPU alcance picos del 70-90%, algo que puedes verificar abriendo el Administrador de Tareas (Ctrl+Shift+Esc en Windows) y buscando procesos del navegador con un consumo inusualmente alto.
- Tu dirección IP queda vinculada a solicitudes que tú no has realizado.
- Puedes estar recopilando datos sin consentimiento involuntariamente, lo que puede perjudicar tu privacidad y reputación.
Un caso documentado que ilustra este riesgo fue analizado por la firma de ciberseguridad LayerX Security en 2023. En su informe, explicaron cómo ciertas extensiones asociadas a empresas como ContextLogic (propietaria de Wish) se utilizaban para recolectar datos comerciales desde los navegadores de los usuarios, sin que estos fueran conscientes. Esta técnica, conocida como scraping residencial, permite a las empresas evadir bloqueos anti-bot utilizando los permisos otorgados por el propio usuario. Y aunque contraviene las políticas de la Chrome Web Store, sigue ocurriendo con más frecuencia de lo que imaginas.
Cómo identificar y prevenir extensiones que realizan scraping
Lo primero que debes hacer es revisar las extensiones que tienes instaladas actualmente. Si encuentras alguna que no recuerdas haber instalado o que no necesitas, desinstálala inmediatamente. Pero eso es solo el primer paso.
No todas las extensiones son igualmente peligrosas, pero hay patrones que se repiten. Muchas de las que abusan del scraping comparten características comunes: requieren permisos excesivos para acceder a tus cookies, historial y datos en tiempo real; otras se infiltran tras actualizaciones silenciosas —cuando una extensión legítima es adquirida por terceros—, o llegan disfrazadas dentro de instaladores de software pirata. Incluso hay extensiones que ejecutan scripts remotos sin tu conocimiento, como ocurrió con AddScript. Lo más preocupante es que más del 30% de las extensiones maliciosas se camuflan como herramientas de productividad o personalización.
Extensiones de alto riesgo
| Categoría de Extensión | Ejemplos Comunes | Permiso Peligroso Clave | Alternativa Segura Sugerida |
|---|---|---|---|
| VPN Gratuitos | FreeVPN Master, Hola VPN, TurboVPN | Acceso y modificación de todo el tráfico web | Utilizar servicios de confianza como ProtonVPN o Mullvad |
| Buscadores de Cupones | DealPly, Honey (versiones antiguas) | Leer y modificar datos en todos los sitios web visitados | Consultar cupones directamente en las webs oficiales o usar comparadores |
| Conversores Multimedia | VideoDownloader, MP3 Converter Online | Ejecutar scripts en segundo plano y acceso a archivos locales | Utilizar software de escritorio de código abierto como yt-dlp o VLC |
| Temas y Fondos de Pantalla | Custom Cursors, Wallpaper HD | Modificar la página de inicio y el motor de búsqueda | Utilizar las opciones de personalización integradas en el navegador |
Aquí te resumo las categorías que suelen estar más comprometidas:
| Categoría | Ejemplos reales | Técnicas maliciosas |
|---|---|---|
| VPN Gratuitas | Administradores de proxies | Robo de datos de navegación, inyección de anuncios |
| Buscadores de cupones | DealPly, WebSearch | Sustitución de motores de búsqueda, seguimiento de consultas |
| Conversores de archivos | Descargadores de música/vídeo | Ejecución de scripts en segundo plano, minería de datos |
| Temas y fondos de pantalla | Paquetes de personalización visual | Modificación de configuración del navegador, inyección de cookies |
| Herramientas de productividad | Gestores de tareas, editores de texto | Robo de sesiones mediante cookies de autenticación |
Te comparto algunos consejos prácticos que yo mismo aplico:
- Revisa los permisos de cada extensión. En Chrome, puedes hacerlo desde Extensiones > Detalles. Si ves algo como “Puede leer y cambiar todos los datos de los sitios web que visitas”, desconfía si no es esencial para su función.
- Desactiva extensiones que no estés utilizando activamente. De este modo, evitas que funcionen en segundo plano.
- Investiga a los desarrolladores. Busca su página oficial, lee opiniones y verifica si tienen políticas de privacidad claras.
- Considera instalar un firewall o monitor de red local, como GlassWire, que te avise si una extensión está realizando conexiones inusuales o excesivas.
- Evita extensiones poco conocidas que no estén en el repositorio oficial de Chrome o Firefox, aunque te las recomiende una web externa.
Y, por supuesto, mantén tu navegador siempre actualizado. Las últimas versiones suelen incluir mejoras de seguridad que ayudan a bloquear técnicas abusivas.
Advertencia esencial para los usuarios:
Presta especial atención a extensiones de categorías que suelen estar comprometidas, como VPN gratuitas, buscadores de cupones, conversores de archivos online, temas visuales y herramientas de productividad de desarrolladores poco conocidos. Según informes de Kaspersky y LayerX Security, estas representan el 78 % de las extensiones maliciosas detectadas en 2025.
Verifica siempre los permisos antes de instalar: si piden acceso a cookies, formularios o a todo el contenido de las páginas web, desconfía de inmediato.
Si deseas ir un paso más allá, puedes reforzar tu protección con medidas más técnicas:
- Utiliza firewalls como GlassWire o Portmaster para monitorizar conexiones salientes de tus extensiones.
- Configura listas de bloqueo que impidan permisos sensibles como la lectura de cookies o la modificación de formularios.
- Verifica la reputación del desarrollador, especialmente si la extensión ha cambiado de manos recientemente (algo que a menudo pasa desapercibido).
Estas precauciones no solo te protegen del scraping, sino también de robos de sesión, espionaje y pérdida de privacidad sin que te des cuenta.
Preguntas frecuentes sobre el scraping en extensiones
¿Qué es exactamente el ‘web scraping’ a través de una extensión?
¿Qué riesgos corro si una extensión utiliza mi PC para hacer scraping?
¿Cómo puedo saber si una extensión tiene permisos peligrosos?
En Chrome, ve a «Extensiones > Detalles» en la extensión que quieras revisar. Desconfía especialmente de las que solicitan el permiso ‘Puede leer y cambiar todos los datos de los sitios web que visitas’ si no es estrictamente necesario para su función principal.
¿Son seguras las extensiones de las tiendas oficiales de Chrome o Firefox?
