Una nueva investigación ha revelado que decenas de extensiones de navegador ampliamente utilizadas están recopilando y vendiendo datos de usuarios a terceros, a menudo con el consentimiento legal completo oculto en sus políticas de privacidad.
La investigación, realizada por LayerX Security , identificó más de 80 extensiones de navegador que afectan al menos a 6,5 millones de usuarios que monetizan abiertamente datos personales.
A diferencia de las extensiones maliciosas tradicionales que exfiltran información en secreto, muchas de las herramientas marcadas operan dentro de límites legales. Los desarrolladores revelan explícitamente las prácticas de recogida y reventa de datos en sus políticas de privacidad, lo que permite la actividad según la normativa vigente.
Los investigadores descubrieron que el problema está extendido en diferentes categorías de extensiones, incluyendo bloqueadores de anuncios, herramientas de medios y complementos de productividad. En un caso, un grupo de extensiones bloqueadoras de anuncios con una base combinada de usuarios de más de 5,5 millones recopiló y vendía datos de navegación.
Los datos recogidos varían, pero pueden incluir actividad de navegación, hábitos de streaming, información demográfica y atributos personales inferidos como edad y género. También se descubrió que algunas extensiones rastrean la actividad en plataformas como Netflix, Amazon Prime Video y otros servicios importantes.
Un factor clave que permite estas prácticas es el consentimiento del usuario, aunque rara vez esté informado. Según LayerX, muchos usuarios aceptan permisos y términos de privacidad sin revisarlos, lo que permite a las extensiones recopilar y vender legalmente sus datos.
Al mismo tiempo, la investigación pone de manifiesto brechas más amplias de transparencia en el ecosistema de extensiones de navegador. Alrededor del 71% de las extensiones en la Chrome Web Store no publican ninguna política de privacidad, lo que dificulta que los usuarios entiendan cómo se gestionan sus datos.
Los expertos en seguridad señalan que las extensiones de navegador tienen acceso amplio a información sensible, incluyendo el historial de navegación y el contenido de las páginas, lo que aumenta el impacto potencial tanto de la recogida legal como maliciosa de datos.
Los resultados apuntan a un modelo de riesgo dual. Por un lado hay extensiones explícitamente compatibles que monetizan los datos de los usuarios mediante prácticas divulgadas. Por otro lado, extensiones maliciosas o comprometidas que explotan privilegios de acceso similares sin divulgación.
A medida que las herramientas basadas en navegador continúan expandiéndose en funcionalidad, los investigadores advierten que el ecosistema de extensiones sigue siendo un canal en gran medida no regulado para la recopilación de datos a gran escala. La combinación de permisos amplios, supervisión limitada y baja conciencia de los usuarios crea condiciones en las que los datos personales pueden monetizarse a gran escala, a menudo sin una transparencia significativa.