Extensión de Chrome vendiendo datos sin permiso: el problema también es Google
Cuando leemos que hay una extensión de Chrome vendiendo datos sin permiso, la reacción más habitual es culpar al usuario por instalar algo que no debía. Pero, si nos quedamos ahí, estamos simplificando demasiado el problema. En realidad, cuando una extensión sospechosa logra publicarse, mantenerse activa, acumular descargas y operar durante tiempo suficiente como para recopilar información sensible, el fallo ya no es solo individual: también es estructural. Y ahí el foco debe apuntar a Google y a su capacidad real de prevención en la Chrome Web Store.
La propia documentación oficial de Google explica que todas las extensiones pasan por un proceso de revisión automatizado y que, en algunos casos, también se aplica revisión manual, especialmente cuando se solicitan permisos sensibles. El problema es que esa promesa de control choca con una realidad incómoda: varias investigaciones recientes han mostrado que extensiones aparentemente legítimas, e incluso algunas con señales de confianza visibles, lograron colarse o mantenerse activas mientras recopilaban datos, vigilaban la navegación o cambiaban de comportamiento tras una actualización.
"All Chrome Web Store items go through an automated review process." — Chrome for Developers
Fuente: Chrome for Developers
Qué ha pasado con las extensiones de Chrome señaladas por vender datos
Medios como 20minutos ya se han hecho eco de investigaciones que apuntan a extensiones populares de Chrome y Edge capaces de recopilar datos sin consentimiento. En paralelo, Koi Security documentó campañas donde varias extensiones funcionales y aparentemente normales terminaron afectando a millones de usuarios entre ambos navegadores. Es decir, no hablamos solo de “software raro” o de complementos marginales: hablamos de herramientas que parecían útiles, que se instalaban con normalidad y que se apoyaban en la confianza que genera una tienda oficial.
En uno de esos análisis, Koi explica que una sola investigación sobre una extensión “verified” destapó una campaña coordinada de 18 extensiones maliciosas con más de 2,3 millones de usuarios afectados entre Chrome y Edge. Más preocupante aún: el informe sostiene que algunas de esas extensiones conservaron apariencia legítima durante años antes de volverse maliciosas a través de una actualización. Eso refuerza una idea clave para nuestro enfoque: el problema no empieza solo en la publicación inicial, sino también en el seguimiento posterior.
"The malware was introduced on version updates across the lifetime of the extensions." — Koi Research
Fuente: Koi Research
El verdadero problema: la falta de supervisión de Google en Chrome Web Store
Aquí es donde debemos cambiar el enfoque. Si una extensión de Chrome puede vender datos sin permiso, recopilar actividad de navegación o pedir accesos sobredimensionados y aun así pasar filtros, la pregunta importante no es solo qué instaló el usuario. La pregunta importante es por qué Google no lo frenó antes o por qué no lo detectó con la suficiente rapidez.
Google deja claro en sus políticas que la recopilación y uso de la actividad de navegación están prohibidos salvo cuando sean estrictamente necesarios para una función visible y claramente explicada al usuario. También prohíbe transferir o vender datos de usuario a terceros como brokers de datos o revendedores de información. Sobre el papel, la norma es clara. El problema es que, si seguimos viendo casos en los que estas prácticas aparecen en extensiones distribuidas desde el canal oficial, entonces no basta con tener políticas: hay que ejecutarlas con eficacia.
"Collection and use of web browsing activity is prohibited" — Chrome Web Store Program Policies
Y aquí es donde tu enfoque editorial tiene mucho sentido: da la impresión de que Google está reaccionando más que previniendo. La documentación oficial de la Chrome Web Store reconoce, además, que cuando una extensión es retirada, los usuarios finales no son notificados inmediatamente y que Chrome puede tardar semanas en deshabilitarla automáticamente si el problema no se resuelve. Dicho de otro modo: incluso cuando ya existe una acción de enforcement, la respuesta no siempre es instantánea desde el lado del usuario afectado.
"End users are not notified of the enforcement action immediately after takedown." — Chrome Web Store review processPolicies
Los filtros automáticos de Google no están previniendo lo suficiente
Aquí conviene ser precisos. Google sí confirma que utiliza revisión automatizada y, en ciertos casos, revisión manual. Lo que no detalla públicamente en esa documentación es cómo entrena o pondera sistemas concretos de IA para detectar comportamientos maliciosos complejos. Por eso, cuando hablamos de “filtros de IA poco entrenados”, debemos presentarlo como una inferencia razonable, no como un hecho confirmado por Google. La inferencia se sostiene porque el modelo actual de revisión automatizada convive con casos documentados de extensiones que cambiaron de comportamiento con actualizaciones silenciosas, acumularon instalaciones y siguieron operando dentro del ecosistema oficial.
Si lo llevamos a la práctica, el síntoma está claro: un sistema de control suficientemente maduro debería detectar antes señales como permisos que no encajan con la función declarada, acceso injustificado a múltiples plataformas, scraping en segundo plano o cambios bruscos en el comportamiento de una extensión tras una actualización. Koi describe precisamente ese patrón en campañas donde varias extensiones pedían acceso a más de 28 plataformas de videoconferencia y transmitían datos en tiempo real. Cuando una tienda oficial no intercepta a tiempo ese tipo de desviaciones, cuesta defender que la prevención está funcionando al nivel que debería.
Por qué no podemos cargar toda la responsabilidad sobre el usuario
Claro que los usuarios deben revisar permisos, desconfiar de extensiones innecesarias y eliminar complementos dudosos. Pero tampoco podemos fingir que instalar desde una tienda oficial no genera una expectativa razonable de seguridad. Si Google construye un entorno donde presume de revisión, políticas de privacidad, estados de publicación y mecanismos de retirada, entonces también asume parte de la responsabilidad cuando una extensión problemática supera esos controles o se convierte en una amenaza tras una actualización.
De hecho, algunos informes recientes van justo en esa línea: el éxito de este tipo de campañas no depende solo del engaño al usuario, sino de que los atacantes sepan explotar los sellos de confianza del propio ecosistema. Koi llega a señalar que algunas extensiones lograron estatus “verified” o placement destacado, algo que amplifica la sensación de legitimidad. Eso vuelve todavía más delicado el debate: cuando la plataforma transmite confianza visual y operativa, el listón de supervisión también debería ser mucho más alto.
Qué tendría que hacer Google para evitar otro caso parecido
Desde nuestro punto de vista, Google debería reforzar al menos cinco frentes. Primero, una auditoría continua mucho más agresiva sobre extensiones ya publicadas, no solo sobre el momento inicial de revisión. Segundo, análisis comparativos de versiones para detectar cambios sospechosos tras actualizaciones. Tercero, más fricción para permisos que no guardan relación directa con la funcionalidad anunciada. Cuarto, alertas tempranas y visibles para usuarios potencialmente afectados. Y quinto, revisiones manuales más profundas cuando una extensión crece rápido o toca datos especialmente sensibles. Estas medidas no salen inventadas de la nada: nacen del contraste entre la política escrita de Google y los fallos observados por investigadores externos.
Además, sería lógico que Google dejara de tratar la seguridad de extensiones como un problema puramente documental. Tener una política que prohíbe vender datos no protege por sí sola; lo que protege es detectar antes al infractor, bloquearle la distribución y cortar el impacto lo más rápido posible. Mientras eso no ocurra con más consistencia, seguiremos viendo titulares sobre una extensión de Chrome vendiendo datos sin permiso como si fueran excepciones, cuando en realidad apuntan a una debilidad más profunda del ecosistema.
Cómo podemos protegernos mientras Google no cierre este agujero
Mientras la prevención de la plataforma siga dejando dudas, nos toca elevar nuestro propio nivel de prudencia. Debemos revisar con cuidado qué extensiones tenemos instaladas, eliminar las que ya no usamos, desconfiar de permisos que no encajan con la función prometida y prestar especial atención a extensiones que piden acceso amplio a sitios o servicios que no necesitan para operar. También conviene revisar cambios recientes, opiniones, historial del desarrollador y señales extrañas después de actualizaciones. Este consejo no sustituye la responsabilidad de Google, pero sí nos ayuda a reducir exposición mientras el ecosistema no ofrezca garantías más sólidas.
Preguntas frecuentes sobre extensiones de Chrome que venden datos sin permiso
¿Cómo puede una extensión de Chrome vender datos sin permiso?
Puede hacerlo si recopila información del usuario o de su navegación y la transfiere a terceros sin una base legítima ni una divulgación clara. Las políticas de Google lo prohíben expresamente, pero distintos informes han documentado campañas que aun así lograron distribuirse o mantenerse activas en marketplaces oficiales.
¿La Chrome Web Store revisa realmente las extensiones?
Sí. Google afirma que todas pasan por revisión automatizada y que algunas también pasan por revisión manual, sobre todo cuando solicitan permisos sensibles. El problema es que la existencia de ese proceso no garantiza que detecte a tiempo todos los abusos, especialmente cuando una extensión cambia tras una actualización.
¿Por qué decimos que falta supervisión de Google en las extensiones de Chrome?
Lo decimos porque existe una distancia visible entre lo que prometen las políticas y los casos que siguen apareciendo. Si una extensión consigue acumular usuarios, solicitar permisos desproporcionados o exfiltrar datos sin ser frenada a tiempo, la prevención de plataforma está fallando en algún punto.
¿Los filtros de IA de Google están mal entrenados?
No podemos afirmarlo como hecho confirmado por Google. Lo que sí podemos sostener es que, a la vista de la revisión automatizada que la compañía reconoce y de los casos publicados por investigadores externos, los controles automáticos no están previniendo lo suficiente determinados patrones de abuso. Esa conclusión es una inferencia editorial basada en hechos documentados.
¿Instalar desde la tienda oficial de Chrome sigue siendo seguro?
Sigue siendo más razonable que instalar desde orígenes desconocidos, pero ya no deberíamos tratar la tienda oficial como una garantía absoluta. Varias investigaciones muestran que la legitimidad aparente, las valoraciones o incluso ciertas señales de confianza no siempre bastan para descartar una amenaza.
¿Qué permisos deberían hacernos sospechar en una extensión de Chrome?
Debemos sospechar cuando una extensión pide acceso mucho más amplio que el necesario para su función. Google, de hecho, exige solicitar los permisos más estrechos posibles y ser transparente con la recogida y uso de datos. Si una herramienta sencilla pide acceso masivo a plataformas o a la navegación completa, hay motivo para revisar dos veces.
Conclusión
No estamos ante un simple caso de “usuarios despistados” instalando herramientas peligrosas. Estamos ante una señal de alarma más seria: la Chrome Web Store no siempre está previniendo con la eficacia que debería. Google tiene políticas, procesos de revisión y mecanismos de retirada, sí. Pero la suma de investigaciones externas, campañas documentadas y tiempos de reacción mejorables muestra que el sistema sigue dejando huecos importantes.
Por eso, cuando hablamos de una extensión de Chrome vendiendo datos sin permiso, no deberíamos cerrar el análisis en la conducta del complemento o en el error del usuario. También deberíamos mirar a la plataforma que lo alojó, al modelo de supervisión que no lo frenó antes y a unos controles automáticos que, como mínimo, parecen estar por detrás del problema. Y hasta que Google no pase de la reacción a la prevención real, seguiremos teniendo motivos para desconfiar.
Protejamos nuestra web más allá del navegador
Si la falta de supervisión en las extensiones de Chrome demuestra algo, es que no podemos dejar la seguridad en manos de controles automáticos que llegan tarde. En Bitralix trabajamos para que webs, proyectos y negocios online cuenten con una base más segura: hosting fiable, soporte técnico cercano y un entorno pensado para reducir riesgos desde el primer día.

