La herramienta de IA en tu navegador es probablemente el mayor riesgo de seguridad en el que no estás pensando.
Es muy probable que ahora mismo, mientras lees esto, tengas instaladas entre tres y quince extensiones de navegador. Un corrector gramatical. Un gestor de contraseñas. Quizás un par de asistentes de IA. La mayoría las instalaste rápidamente, hiciste clic en "Añadir a Chrome" y no volviste a pensar en ellas.
Ese es precisamente el problema.
Acabamos de publicar nuestro Informe de seguridad de extensiones de navegador empresariales 2026Los datos que recopilamos de más de un millón de dispositivos empresariales revelan una realidad que la mayoría de los equipos de seguridad —y la mayoría de los empleados— aún no han comprendido del todo. Las extensiones de navegador están por todas partes, son potentes y, en gran medida, invisibles para quienes se encargan de la seguridad de las organizaciones.
Todo el mundo lleva extensiones. Casi nadie las ve.
Comencemos por la magnitud del problema. El 99% de los usuarios empresariales tienen instalada al menos una extensión de navegador. No la mayoría de los usuarios. No los expertos en tecnología. Prácticamente todos. Y más de uno de cada cuatro empleados en organizaciones pequeñas y medianas tienen más de 10 extensiones ejecutándose en su navegador en cualquier momento dado.
Se trata de una superficie de ataque enorme, y la mayoría de las organizaciones prácticamente no tienen visibilidad de ella. Constantemente observamos que los equipos de seguridad no pueden determinar qué extensiones se ejecutan en su entorno, quién las instaló ni qué permisos tienen. Las extensiones pasan desapercibidas como casi ningún otro software.
Para concretar más las cosas: casi El 75% de todas las extensiones de navegador solicitan niveles de permisos altos o críticos. Esto significa que tienen amplio acceso a los datos que fluyen a través de tu navegador. Solo el 3 % opera con permisos limitados. No se trata de herramientas inertes que permanecen en silencio en tu barra de herramientas. Pueden leer lo que escribes, acceder a tus cookies y tokens de sesión, inyectar código en páginas web y administrar tus pestañas (incluso sin que el usuario lo sepa).
Extensiones de IA: La amenaza de la que nadie habla
Aquí es donde las cosas se ponen particularmente interesantes, y preocupantes.
La explosión de herramientas de IA en los últimos años ha dado lugar discretamente a una nueva categoría de extensiones de navegador: las extensiones de IA. Copilotos, asistentes de escritura, resumidores, ayudantes para reuniones, autocompletadores. Uno de cada seis usuarios empresariales ya tiene instalada al menos una extensión de IA.y su adopción se está acelerando.
A primera vista, estas herramientas parecen inofensivas, incluso útiles. Pero nuestros datos revelan algo importante: Las extensiones de IA conllevan, en promedio, un perfil de riesgo significativamente mayor que las extensiones de navegador. No se trata de una diferencia mínima. La brecha es sorprendente:
- 60% más probabilidades de tener una vulnerabilidad conocida (CVE) que la extensión promedio: el 16.3% de las extensiones de IA tienen una CVE conocida, en comparación con el 10.8% en todas las extensiones.
- 3 veces más probabilidades de tener acceso a tus cookies — lo que significa acceso a sus tokens de sesión y datos de autenticación.
- 2.5 veces más probabilidades de tener permisos de scripting. — la capacidad de inyectar código directamente en páginas web, capturar lo que escribes y manipular el contenido.
- Tienes el doble de probabilidades de poder gestionar las pestañas de tu navegador. — abrir, redirigir o monitorear todo lo que estás haciendo
Si se combinan todos estos elementos, se obtiene una categoría de herramientas que los empleados están adoptando con rapidez, entusiasmo y muy poco escrutinio, y que, casualmente, solicitan los permisos más potentes disponibles.
Cambian con el tiempo. En silencio.
Uno de los hallazgos que nos sorprendió incluso a nosotros: Las extensiones de IA tienen casi 6 veces más probabilidades de cambiar o ampliar sus permisos después de la instalación. en comparación con la extensión promedio.
Piensa en lo que eso significa en la práctica. Instalas un asistente de escritura con IA. Te pide permisos razonables. Los apruebas. Seis meses después, se actualiza discretamente y ahora tiene acceso a tus cookies, tus pestañas y tu historial de navegación. Nunca viste ninguna notificación. Nunca aprobaste nada nuevo. Simplemente… cambió.
Nuestros datos muestran que El 64% de los usuarios tiene al menos una extensión de IA que cambió sus permisos en los últimos 12 meses., en comparación con el 34% de los usuarios en todas las extensiones. Este no es un riesgo de instalación puntual, sino un riesgo en constante evolución.
Las señales de confianza son débiles en general.
La situación se vuelve aún más confusa cuando se observan las señales de reputación de las extensiones que la gente está utilizando. Casi La mitad de todas las extensiones de IA tienen menos de 10,000 usuarios. — lo que significa que hay muy poca supervisión por parte de la comunidad, muy poco historial público y muy poca responsabilidad si algo sale mal.
Y Más del 71% de todas las extensiones, ya sean de IA o de otro tipo, ni siquiera tienen una política de privacidad. Más del 73% de los usuarios empresariales tienen instalada al menos una extensión que no ofrece ninguna transparencia sobre cómo gestiona sus datos.
Qué hacer al respecto
El primer paso es, sencillamente, saber qué tienes. Un inventario completo de todas las extensiones que se ejecutan en todos los navegadores, dispositivos y usuarios no es un lujo, sino un requisito indispensable. No puedes gestionar un riesgo que no puedes ver.
A partir de ahí, las extensiones de IA merecen un análisis específico. Dados sus permisos elevados, su ritmo de cambio más rápido y su acceso directo a datos confidenciales del navegador, no deberían tratarse igual que un simple corrector ortográfico.
Reunimos todo esto —los datos completos, los desgloses por tamaño de organización, las comparaciones de permisos y las recomendaciones específicas— en nuestro Informe de seguridad de extensiones de navegador empresariales 2026.