280 millones de usuarios de Google Chrome han instalado extensiones con malware
Dos nuevos informes revelan opiniones claramente diferentes sobre la seguridad de las extensiones del navegador Chrome.
Google dice que menos del 1% de todas las instalaciones incluyen malware, mientras que los investigadores universitarios dicen que 280 millones de usuarios han instalado extensiones con malware durante un período de tres años. Ninguno de los dos números me llena de mucha confianza.
{getCard} $type={post} $title={Recomendado}
Según Google Más de 250.000 extensiones están disponibles en la tienda web de Chrome. Google también dice que "se descubrió que menos del 1% de todas las instalaciones de Chrome Web Store incluían malware", así que ¿por qué no encuentro esto tan tranquilizador como podría?
Un artículo reciente de investigadores de la Universidad de Stanford y el Centro Helmholtz de Seguridad de la Información CISPA destaca la preocupante prevalencia de extensiones de navegador dignas de seguridad para Chrome. Según el estudio, más de 346 millones de usuarios instalaron este tipo de extensiones entre julio de 2020 y febrero de 2023.
Incluso después de restar 63 millones de violaciones de políticas y tres millones con código vulnerable, los investigadores estiman que todavía hubo 280 millones de instalaciones de extensiones de Chrome que contenían malware.
Los investigadores en cuestión, Sheryl Hsu, Manda Tran y Aurore Fass, publicaron su artículo el 18 de junio. Es importante tener en cuenta que el estudio de investigación cubre las infracciones de la política de la tienda web de Google y el código vulnerable, junto con las extensiones que contienen malware en la definición de SNE. Sin embargo, lo que más me interesa es el lado del malware. Sobre todo porque las extensiones a menudo requieren permisos avanzados que pueden afectar la privacidad y la seguridad del usuario, y son estos permisos solicitados los que determinan la superficie de ataque para cualquier extensión maliciosa.
Como era de esperar, los investigadores encontraron que las extensiones poco fiables tienden a pedir más permisos que las benignas. "En última instancia, cuantos más permisos tenga una extensión, mayor será la superficie de ataque", concluyó el estudio.
También fue preocupante que el estudio encontró que las extensiones que contenían malware estaban disponibles en la tienda web de Chrome durante un promedio de 380 días. Uno, según el estudio, permaneció disponible desde diciembre de 2013 hasta junio de 2022, cuando se descubrió que contenía malware y se eliminó.
Lo que dice Google sobre la seguridad con las extensiones de Chrome
En el blog de seguridad de Google, solo 48 horas después de que los investigadores publicaran su estudio, realizado por Benjamin Ackerman, Anunoy Ghosh y David Warren del equipo de seguridad de Chrome, admite que "como con cualquier software, las extensiones también pueden introducir riesgos". Sin embargo, también establece cómo un equipo de seguridad dedicado se dedica a mantener seguros a los usuarios de Chrome con respecto a las extensiones.
Google dijo que este equipo proporciona a los usuarios un resumen personalizado de las extensiones instaladas, revisa todas las extensiones antes de que puedan publicarse en la tienda web de Chrome y las monitorea después.
{getCard} $type={post} $title={Recomendado}
Un ejemplo de esto en acción es un panel de comprobación de seguridad en la parte superior de la página de extensiones que alerta a los usuarios de cualquier extensión instalada que pueda presentar un riesgo. Google dijo que "si no ves un panel de advertencia, probablemente no tengas ninguna extensión de la que debas preocuparte", aunque el estudio de Stanford más bien abre esa declaración al debate.
Dicho esto, el proceso automatizado de Google que utiliza sistemas de aprendizaje automático examina todas las extensiones que buscan ser publicadas en la tienda web, y luego una revisión humana analiza las imágenes, descripciones y políticas públicas de cada extensión. "Este proceso de revisión elimina la abrumadora mayoría de las extensiones malas incluso antes de que se publiquen", dijo Google, "en 2024, se descubrió que menos del 1% de todas las instalaciones de Chrome Web Store incluían malware.
Estamos orgullosos de este récord y, sin embargo, algunas extensiones malas aún se transmiten, por lo que también monitoreamos las extensiones publicadas".
Cuatro recomendaciones para ayudar a garantizar que sus extensiones de Chrome sean seguras
Google recomienda que los usuarios de Chrome hagan cuatro cosas para ayudar a minimizar el riesgo de extensiones maliciosas:
- Revise las nuevas extensiones antes de instalarlas: lea la información sobre la extensión y el desarrollador antes de instalarla.
- Desinstala las extensiones que ya no uses.
- Limite los sitios en los que una extensión tiene permiso para trabajar.
- Habilita el modo de protección mejorada de la función de navegación segura de Chrome: este modo te proporciona protección contra el phishing y el malware, así como funciones destinadas a mantenerte a salvo de extensiones potencialmente dañinas.
Quiza Chrome sea el navegador mas popular hoy en dia, pero por esta misma razon es objetivo de este tipo de infecciones a los usuarios. Hace mucho tiempo atras fui usuario leal del navegador, pero hoy en dia con tantas alternativas en la red, hacen que podamos escojer mejores opciones; la mia ha sido Microsoft Edge, tanto para movil como para PC.