Una nueva investigación de LayerX Security revela múltiples redes de extensiones de navegador que recopilan datos de los usuarios y los revenden con fines de lucro, y todo es completamente legal. A diferencia de las extensiones maliciosas que se disfrazan de legítimas y actúan en secreto, estas extensiones informan explícitamente a los usuarios que recopilarán y venderán sus datos. Está claramente estipulado en la Política de Privacidad; solo que nadie la lee.
LayerX analizó las políticas de privacidad de miles de extensiones y descubrió más de 80 extensiones diferentes que recopilan y venden datos de clientes. Algunas de estas extensiones incluyen:
Aunque las extensiones del navegador puedan parecer inofensivas, estos hallazgos ponen de manifiesto la exposición a la privacidad que puede derivarse del uso no regulado de las mismas.
Políticas de privacidad. Leerlas es como ver secarse la pintura. Para la mayoría de los usuarios, es peor que leer la letra pequeña de sus contratos hipotecarios; y eso ya es decir mucho.
Excepto que sí lo hicimos.
Los investigadores de LayerX Security, Dar Kahllon y Guy Erez, analizaron las políticas de privacidad de miles de extensiones de navegador disponibles en tiendas oficiales. Buscaban una cosa: si el editor se reservaba explícitamente el derecho a vender datos de usuario.
Y las encontramos. Nuestro análisis reveló al menos 80 extensiones de este tipo, algunas de ellas trabajando en connivencia y desarrolladas por el mismo programador. Abarcan desde bloqueadores de anuncios y herramientas de streaming hasta asistentes para solicitudes de empleo, extensiones para nuevas pestañas y plataformas de inteligencia de ventas B2B.
La mayoría de estas políticas no dicen «vendemos tus datos», sino «podríamos venderlos». Es una cláusula legal que implica que tus datos pueden venderse en cualquier momento, y que ya has dado tu consentimiento. Así es como se ve en la práctica:
“Podemos vender o compartir su información personal con terceros.”
“Esta información podrá ser vendida o compartida con socios comerciales.”
Bueno, para ser justos, la mayoría no lo hace.
Figura 1. Transparencia de la Política de Privacidad
Según LayerX Informe de seguridad de extensiones de navegador empresariales 2026El 71% de todas las extensiones en la Chrome Web Store ni siquiera publican una política de privacidad.
Como resultado, más del 73 % de los usuarios tienen instalada al menos una extensión sin política de privacidad, sin transparencia alguna sobre cómo se gestionan sus datos. Esto significa que nuestro análisis solo pudo basarse en el 29 % que sí cuenta con una política de privacidad.
Y si asumimos que algunas de esas extensiones sin ninguna política de privacidad también revenderán tus datos, y no hay razón para asumir que son mejores, el número real de extensiones que pueden vender tus datos a través de Chrome Web Store es de endeudarme .
Hemos desarrollado un sistema para analizar las políticas de privacidad asociadas a las extensiones de navegador en las tiendas oficiales, combinando la clasificación automatizada con la verificación manual.
Partiendo de aproximadamente 9,000 extensiones con URL de políticas de privacidad en nuestra base de datos, logramos recuperar y analizar con éxito 6,666 políticas.
El oleoducto funcionó en tres etapas:
El conjunto de datos final incluye únicamente extensiones cuyas políticas de privacidad indican una venta comercial genuina de datos de usuario a terceros.
Aunque estas cifras puedan parecer bajas, ten en cuenta que solo incluyen las extensiones con políticas de privacidad (menos de un tercio del total) y aquellas que te informan sobre el uso que hacen de tus datos. Es casi seguro que la cifra real es mayor.
Estos son algunos de nuestros hallazgos clave:
Al revisar a los vendedores confirmados, un patrón seguía apareciendo. Diferentes extensiones, diferentes plataformas de streaming, pero el mismo prefijo de tres letras: QVI – abreviatura de “Iniciativa para una Audiencia de Calidad”.
Lo que parecían herramientas inconexas resultó ser una única operación: 24 extensiones para navegadores (21 activas actualmente, 3 eliminadas) que cubren prácticamente todos los principales servicios de streaming.
Todo publicado por HideApp LLC, registrada en 1021 East Lincolnway, Cheyenne, Wyoming – una dirección compartida por cientos de otras LLC a través de un servicio de agente registrado – y operando bajo la marca “aplicación Dogoood."
Las extensiones más grandes de la red:
En sus 21 extensiones activas, la red llega a casi 800,000 usuarios.
Figura 2. Página de la extensión en Chrome Store para la extensión “Imagen de perfil personalizada para Netflix [QVI]”.
Pero su política de privacidad dice algo que las fichas de la tienda no dicen. Estas extensiones recopilan información exhaustiva, que incluye:
También recopilan información sobre la edad y el género, y si no proporcionas datos demográficos, comparan tu correo electrónico con bases de datos demográficas de terceros para completar la información faltante.
Figura 3. Datos declarados como recopilados por la política de privacidad de la extensión “Imagen de perfil personalizada para Netflix [QVI]”.
La política describe la venta de informes a creadores de contenido y estudios, plataformas de streaming, empresas de investigación de medios y agencias de marketing, así como a "organizaciones que compran datos de visualización anonimizados".
En resumen, se trata de un sistema distribuido de medición de audiencia que funciona dentro de los navegadores de los usuarios. Un editor anónimo recopila información sobre el comportamiento de visualización en las principales plataformas de streaming, generando datos sobre qué ven casi 800 000 personas, cuándo y cómo interactúan con el contenido. Ninguno de esos usuarios se suscribió a este sistema. Legalmente, aceptaron los términos al hacer clic en «Añadir a Chrome». En la práctica, nadie los leyó.
Lo confirmamos ocho bloqueadores de anuncios que se reservan el derecho de vender o compartir información del usuario con terceros. Herramientas que la gente instala para detener el rastreo, vendiendo en su lugar los datos de rastreo. En conjunto, alcanzan más de 5.5 millones de usuarios.
Si tu bloqueador de anuncios tiene una política de privacidad de más de dos párrafos, léela.
Figura 4. Bloqueador de anuncios destacado en la Chrome Web Store.
Estas no son las extensiones más grandes de la lista, pero demuestran hasta dónde llega el modelo de venta de datos.
De los 82 vendedores confirmados, 29 de ellos son herramientas de inteligencia de ventas B2B. Su negocio is datos, por lo que la divulgación en sí no es una sorpresa. No los estamos contabilizando junto con las extensiones orientadas al consumidor.
Pero estas extensiones son relevantes en esta conversación. Se instalan en equipos corporativos. Esto significa que la actividad de navegación de los empleados, como las URL internas, los paneles de control de SaaS y la actividad de investigación, se transfiere a bases de datos comerciales que la competencia puede adquirir. El riesgo no radica en que los usuarios sean engañados, sino en que los datos corporativos salgan por un canal que nadie supervisa.
La mayoría de las evaluaciones de seguridad de extensiones se centran en los permisos o en indicadores maliciosos conocidos, señalando las extensiones que solicitan acceso excesivo o que coinciden con la inteligencia sobre amenazas. Esto detecta el malware, pero no una extensión que se reserva abiertamente el derecho a vender tus datos de navegación.
Una prórroga con una cláusula de cesión de datos no es un riesgo hipotético. Es una práctica comercial establecida, recogida en un documento que sus empleados aceptaron sin leer.
Tres preguntas que vale la pena hacerse:
La mayoría de los navegadores ya admiten la gestión centralizada de extensiones mediante políticas empresariales: ExtensionSettings de Chrome, políticas de grupo de Edge, configuraciones empresariales de Firefox. Si no dispone de una política de gobernanza de extensiones, ese es el primer paso. Si ya la tiene, añada la revisión de la política de privacidad a los criterios de evaluación. Los permisos por sí solos no son suficientes.
Con ese fin, LayerX añadió un nuevo filtro para detectar y filtrar (y bloquear, si se desea) las extensiones que no tienen ninguna política de privacidad o que se reservan el derecho a vender datos personales.
Considere la posibilidad de bloquear las extensiones que revelen la venta de datos de los usuarios o que no publiquen ninguna política de privacidad.
Figura 5. Filtro de privacidad de datos de la extensión LayerX
Las extensiones de navegador se encuentran entre las herramientas más poderosas y menos examinadas de la web. Si bien gran parte de la atención se centra en las aplicaciones maliciosas que roban activamente datos de usuarios y empresas, las violaciones de la privacidad pueden parecer triviales, pero también pueden ser riesgosas.
Revisar y leer la Política de Privacidad de cada extensión que tenga cada usuario en su organización puede resultar en cientos o miles de extensiones individuales; evidentemente, eso no es factible.
En cambio, las organizaciones deben empezar a implementar herramientas automatizadas que puedan restringir las extensiones sospechosas y tener en cuenta la configuración de privacidad.
Esto no es una historia sobre malware. Nadie te hackeó. Nadie robó nada. Las extensiones que estás usando ahora mismo podrían estar vendiendo tus datos de navegación, y te lo advirtieron. Está ahí mismo, en la política de privacidad. Página 4. Párrafo 7. Ese que nadie lee.
