El navegador se ha convertido en una de las superficies de ataque más importantes de la empresa moderna. Durante años se ha tratado como una simple herramienta para acceder a Internet, pero hoy concentra buena parte del trabajo diario: correo, CRM, ERP, ticketing, documentación, Microsoft 365, Google Workspace, aplicaciones SaaS, portales cloud y herramientas de inteligencia artificial generativa.
Esto cambia por completo el modelo de riesgo. El navegador ya no es solo una ventana hacia la web. Es el lugar donde el usuario se autentica, mantiene sesiones abiertas, copia y pega información sensible, autoriza aplicaciones, consulta documentos, introduce credenciales y trabaja con asistentes como ChatGPT, Copilot, Gemini, Claude, DeepSeek o Perplexity.
En ese contexto, las extensiones de navegador han dejado de ser un detalle menor. Una extensión maliciosa, comprometida o simplemente excesiva en permisos puede convertirse en un observador privilegiado dentro del entorno donde la empresa trabaja.
Puede parecer una herramienta inocente para resumir correos, traducir textos, mejorar mensajes o conectar con una IA generativa. Pero si tiene permisos amplios, también puede leer contenido de páginas, observar formularios, capturar prompts, interactuar con aplicaciones SaaS, acceder a datos de navegación o enviar información a servidores externos.
El problema no es teórico. En los últimos meses se han publicado investigaciones internacionales sobre extensiones de navegador con temática GenAI capaces de interceptar prompts, vigilar correos, exfiltrar contraseñas o robar conversaciones de servicios como ChatGPT y DeepSeek. La tendencia es clara: los atacantes están aprovechando la adopción masiva de la IA para distribuir extensiones que parecen productivas, pero que introducen riesgo dentro del navegador.
Para una empresa, esto convierte la seguridad del navegador en una prioridad. No basta con tener MFA, EDR o políticas de contraseñas. Si el usuario trabaja cada día dentro de una sesión web autenticada y esa sesión puede ser observada por una extensión no controlada, existe una superficie de ataque que debe gobernarse.
Por qué el navegador es el nuevo perímetro empresarial
El perímetro clásico de red perdió peso cuando las aplicaciones críticas se movieron a la nube. Hoy, muchas organizaciones ya no acceden a sus sistemas desde una red interna cerrada, sino desde un navegador autenticado contra decenas de servicios SaaS.
Esto significa que una parte importante del riesgo se ha desplazado hacia la identidad, la sesión y el dispositivo desde el que se accede. El usuario puede estar fuera de la oficina, trabajar desde un portátil en remoto, usar un navegador sincronizado con su cuenta personal y acceder al mismo tiempo a correo corporativo, CRM, documentación interna y herramientas de IA.
En ese escenario, el navegador se convierte en el punto de convergencia entre identidad, datos y aplicaciones. Si un atacante consigue influir en lo que ocurre dentro del navegador, puede saltarse controles que tradicionalmente se consideraban suficientes.
Por ejemplo, una organización puede tener MFA activado en Microsoft 365 y aun así sufrir un compromiso si una sesión ya autenticada es robada. También puede tener políticas de clasificación documental, pero perder control si los usuarios copian contenido sensible en extensiones de IA no evaluadas. Y puede tener un EDR correctamente desplegado, pero carecer de visibilidad sobre qué extensiones están instaladas, qué permisos tienen y qué datos observan.
Por eso, la seguridad del navegador empresarial debe formar parte de una estrategia moderna de Zero Trust para pymes y empresas, revisión de identidad, protección de SaaS y operación desde SOC.
Qué hace peligrosa a una extensión de navegador
Una extensión de navegador es código que se ejecuta dentro del entorno donde el usuario navega y trabaja. No todas las extensiones son peligrosas, pero muchas necesitan permisos amplios para funcionar. Ahí empieza el problema.
Una extensión puede solicitar permiso para leer y modificar páginas visitadas, observar URLs, acceder a pestañas, interactuar con formularios, comunicarse con servidores externos o inyectar scripts. En algunos casos, estos permisos son necesarios para la funcionalidad prometida. En otros, son excesivos o directamente abusivos.
Desde el punto de vista de seguridad, una extensión con acceso amplio se parece a una pequeña aplicación privilegiada dentro del navegador. Puede ver contenido antes de que llegue a los sistemas corporativos de control, puede operar dentro de una sesión ya autenticada y puede interactuar con aplicaciones críticas sin que el usuario perciba nada extraño.
La dificultad está en que el riesgo no siempre es evidente. Una extensión puede tener buen diseño, miles de instalaciones, valoraciones positivas y una descripción convincente. También puede estar publicada en una tienda oficial. Nada de eso garantiza que su comportamiento sea adecuado para un entorno corporativo.
Además, una extensión no es estática. Puede cambiar con una actualización, incorporar nuevas funciones, solicitar permisos adicionales o ser adquirida por otro desarrollador. Una herramienta aceptable hoy puede convertirse en un riesgo mañana si cambia su comportamiento o si su cadena de suministro se ve comprometida.
GenAI ha acelerado el riesgo
La adopción de inteligencia artificial generativa ha multiplicado el atractivo de este vector. Han aparecido extensiones que prometen resumir correos, contestar mensajes, traducir documentos, mejorar textos, automatizar LinkedIn, conectar con modelos de lenguaje o integrar ChatGPT en cualquier página.
El problema es que, para cumplir esas funciones, muchas extensiones necesitan acceder precisamente a los datos que una empresa quiere proteger: correos, documentos, conversaciones, CRM, tickets, prompts, respuestas generadas, formularios, páginas internas o contenido copiado al portapapeles.
Esto obliga a ampliar la conversación sobre Shadow AI. No basta con preguntar qué herramientas de IA usan los empleados. También hay que preguntar qué extensiones relacionadas con IA están instaladas en sus navegadores, qué permisos tienen, qué datos pueden leer y si han sido evaluadas por seguridad, legal o compliance.
Una extensión de IA que resume correos puede estar leyendo correos. Una extensión que ayuda a escribir propuestas puede acceder a información comercial. Una extensión que mejora prompts puede capturar los prompts. Una extensión que opera sobre el navegador completo puede observar más de lo que el usuario cree.
Este riesgo conecta directamente con los problemas que ya analizamos en LLMs, copilots y vibe coding: riesgos de seguridad para empresas y con la necesidad de implantar controles específicos de seguridad de inteligencia artificial en entornos corporativos.
El riesgo crítico: robo de sesiones aunque exista MFA
MFA sigue siendo un control esencial. Reduce de forma significativa el riesgo asociado al robo de contraseñas y debe estar desplegado en cualquier entorno corporativo. Sin embargo, MFA no resuelve todos los escenarios de secuestro de sesión.
El motivo es sencillo: MFA protege principalmente el momento de autenticación. Una vez que el usuario ha iniciado sesión, el navegador recibe cookies, tokens o artefactos que permiten mantener esa sesión activa. Si un atacante consigue robar o reutilizar esos elementos, puede intentar acceder a la cuenta sin conocer la contraseña y sin repetir necesariamente el flujo completo de autenticación.
Este es uno de los motivos por los que los infostealers y las extensiones maliciosas son tan peligrosos. El objetivo ya no es siempre robar la contraseña. A veces el objetivo es robar la sesión.
La cadena de ataque puede empezar con algo tan simple como instalar una extensión aparentemente útil. El usuario inicia sesión en su correo, CRM o herramienta SaaS. La extensión, si tiene permisos suficientes o comportamiento malicioso, observa contenido, captura datos o interactúa con la sesión. Después, el atacante intenta aprovechar esa información para acceder, moverse lateralmente entre servicios, descargar datos o preparar un fraude más dirigido.
Por eso, una estrategia de identidad madura no debería limitarse a “tenemos MFA”. También debe revisar duración de sesiones, revocación de tokens, acceso condicional, cumplimiento del dispositivo, protección frente a infostealers, detección de anomalías y control de extensiones.
Si la organización ya ha sufrido incidentes relacionados con identidad, conviene revisar además escenarios como el secuestro de cuentas en Microsoft 365 o el device-code phishing en Microsoft 365, porque todos comparten una idea común: la identidad corporativa es hoy uno de los principales objetivos del atacante.
No todas las extensiones peligrosas son iguales
Conviene evitar una visión simplista. No todo el riesgo viene de extensiones creadas desde el primer día para robar datos.
Hay extensiones directamente maliciosas, diseñadas para hacerse pasar por herramientas de productividad, asistentes de IA, traductores, descargadores o utilidades de navegación. Su objetivo es claro: robar información, interceptar contenido o exfiltrar datos.
Pero también existen extensiones legítimas que se vuelven peligrosas con el tiempo. Puede ocurrir si el desarrollador vende la extensión, si su cuenta es comprometida, si se introduce una actualización maliciosa o si se incorpora una librería de terceros con comportamiento abusivo.
Otro caso habitual es el de extensiones con permisos excesivos. No necesariamente actúan de forma maliciosa, pero solicitan más acceso del que deberían. En un entorno corporativo, eso ya es un riesgo. Una extensión que puede leer y modificar cualquier página visitada por un usuario con acceso a correo, CRM y documentación interna debe ser evaluada con el mismo rigor que cualquier otra aplicación corporativa.
También existen extensiones abandonadas, sin mantenimiento claro, sin actualizaciones o con dependencias antiguas. En seguridad, el software no mantenido siempre acaba convirtiéndose en un problema. Y el navegador no debería ser una excepción.
Por último, están las extensiones de IA que no han pasado por ningún proceso de gobierno. Son especialmente sensibles porque suelen estar cerca de datos de alto valor: prompts, correos, documentos, chats, CRM o información comercial. No tienen por qué estar prohibidas por defecto, pero tampoco deberían instalarse sin evaluación.
Por qué las tiendas oficiales no son garantía suficiente
Un error frecuente es asumir que una extensión publicada en una tienda oficial es automáticamente segura. Las tiendas oficiales reducen riesgo, pero no lo eliminan.
Hay varias razones. El análisis automático puede no detectar comportamientos maliciosos sutiles. Una extensión puede cambiar después de ser aprobada. El comportamiento abusivo puede activarse solo ante ciertos dominios o perfiles. La exfiltración puede camuflarse como telemetría. Y los permisos del navegador son, por diseño, muy potentes cuando el usuario los acepta.
Además, el usuario medio no suele entender el alcance real de los permisos. Cuando una extensión pide “leer y modificar datos en los sitios web que visitas”, la implicación empresarial puede ser enorme. Si ese usuario accede a correo corporativo, documentación interna, CRM, aplicaciones financieras o herramientas de IA, la extensión puede situarse en una posición de observación privilegiada.
Por eso, en empresas no basta con confiar en el marketplace. Debe existir una política interna de extensiones, con inventario, aprobación, revisión de permisos, bloqueo técnico y monitorización.
Qué datos corporativos pueden quedar expuestos
El impacto de una extensión mal controlada depende de dónde se use y qué permisos tenga. En una empresa, el navegador puede contener una parte muy relevante de la actividad diaria.
Una extensión peligrosa podría observar correos, adjuntos, propuestas comerciales, conversaciones con clientes, tickets de soporte, datos personales, credenciales introducidas en formularios, contenido de CRM, paneles de ERP, información financiera, documentación contractual, prompts enviados a herramientas de IA o respuestas generadas por modelos.
En sectores regulados, este riesgo puede tener además implicaciones de cumplimiento. No se trata solo de una fuga técnica. Puede afectar a RGPD, ENS, ISO 27001, DORA, NIS2, PCI DSS o compromisos contractuales con clientes.
Por eso la seguridad del navegador no debe verse como una preferencia del usuario o una tarea menor de soporte. Es un control transversal de seguridad, privacidad, cumplimiento y continuidad.
Cómo debería gobernarse este riesgo
El primer paso es aceptar que las extensiones son software corporativo. Si una extensión puede ejecutarse en el navegador desde el que se accede a aplicaciones críticas, debe estar sujeta a política, inventario y revisión.
La organización debería saber qué extensiones están instaladas, en qué usuarios, en qué dispositivos, con qué versión, qué permisos solicitan, quién es el editor, cuándo se actualizaron y si están realmente aprobadas. Sin ese inventario, no hay gobierno posible.
Después hay que decidir el modelo de autorización. En entornos de bajo riesgo puede bastar con bloquear categorías concretas y revisar excepciones. En entornos con datos sensibles, usuarios privilegiados o cumplimiento exigente, el modelo recomendable es una allowlist: solo se permiten extensiones aprobadas y cualquier otra queda bloqueada por defecto.
La revisión de permisos es el punto más importante. No basta con aprobar una extensión por su nombre. Hay que entender qué puede hacer. Si una extensión solicita acceso a todos los sitios, lectura y modificación de páginas, interacción con pestañas o comunicación con dominios externos, debe existir una justificación clara.
En el caso de extensiones de IA, la evaluación debería ser aún más estricta. Hay que entender qué proveedor hay detrás, qué datos procesa, si conserva prompts, si utiliza información para entrenamiento, si ofrece condiciones empresariales, si permite administración centralizada y si encaja con las políticas internas de protección de datos.
Acceso condicional y navegador gestionado
El control de extensiones gana fuerza cuando se integra con identidad y acceso condicional. No es lo mismo acceder a una aplicación crítica desde un navegador gestionado, en un dispositivo conforme y con extensiones aprobadas, que hacerlo desde un perfil personal con extensiones desconocidas.
Las políticas de acceso condicional deberían tener en cuenta el estado del dispositivo, el navegador utilizado, el riesgo de usuario, la ubicación, la sensibilidad de la aplicación y el cumplimiento del endpoint. En aplicaciones críticas, puede tener sentido restringir descargas, limitar sesiones, exigir dispositivos gestionados o bloquear accesos desde navegadores no conformes.
Este enfoque conecta directamente con una revisión de IAM y postura cloud y con una evaluación de seguridad de Microsoft 365, especialmente en organizaciones que dependen de correo, SharePoint, OneDrive, Teams, Entra ID y aplicaciones SaaS integradas.
OAuth grants: el riesgo que queda aunque cierres la pestaña
Muchas extensiones no se limitan a operar dentro del navegador. Algunas solicitan autorizaciones OAuth para acceder a Google Workspace, Microsoft 365, Slack, CRM u otras plataformas. Eso introduce un segundo plano de riesgo: la aplicación conectada.
Una extensión puede desaparecer del navegador y, sin embargo, dejar autorizaciones persistentes si el usuario concedió permisos OAuth. Por eso, revisar extensiones sin revisar aplicaciones autorizadas es una defensa incompleta.
El equipo de seguridad debería vigilar qué aplicaciones tienen permisos, qué usuarios las autorizaron, si requieren consentimiento administrativo, si son aplicaciones verificadas, qué scopes utilizan y si esos permisos siguen siendo necesarios.
Este punto es especialmente importante en entornos donde los usuarios instalan herramientas de productividad o IA para conectar correo, calendario, documentos o CRM. La comodidad puede acabar generando un acceso persistente difícil de detectar si no se monitoriza.
DLP en navegador y uso de GenAI
Una parte relevante del riesgo no procede de malware, sino del uso normal de herramientas web. Un usuario puede copiar información sensible en una extensión de IA para resumirla, mejorarla o traducirla. También puede subir un documento a una herramienta externa sin intención maliciosa.
Por eso, el control debe combinar prevención, educación y tecnología. El objetivo no es bloquear toda productividad, sino evitar que datos sensibles salgan sin criterio.
En empresas con información regulada o propiedad intelectual relevante, puede tener sentido aplicar DLP en navegador, controlar cargas de archivos, limitar copy/paste en aplicaciones no autorizadas, separar herramientas de IA aprobadas de herramientas públicas y registrar eventos relevantes para investigación.
La clave es que la política sea comprensible. Si la organización solo prohíbe, los usuarios buscarán atajos. Si ofrece herramientas aprobadas y explica qué datos pueden usarse, el riesgo baja sin bloquear la innovación.
Qué debería ver el SOC
El SOC necesita telemetría suficiente para detectar anomalías relacionadas con navegador, identidad y SaaS. Si no existe visibilidad, una extensión maliciosa puede operar durante semanas sin generar alertas claras.
Algunas señales son especialmente útiles: instalación de nuevas extensiones, cambios de permisos, uso de extensiones no aprobadas, accesos SaaS desde navegadores no gestionados, creación de nuevas aplicaciones OAuth, refresh tokens sospechosos, actividad fuera de patrón, descargas masivas, tráfico hacia dominios poco habituales o alertas de EDR relacionadas con infostealers.
Estas señales deben correlacionarse con identidad, endpoint, proxy, CASB/SSE, Entra ID, Google Workspace, EDR y SIEM. Un evento aislado puede no decir mucho. La combinación de extensión nueva, permisos amplios, acceso a correo, conexión a dominios externos y actividad anómala de sesión sí puede justificar una investigación.
Este tipo de monitorización encaja de forma natural con un SOC gestionado, servicios de threat hunting y capacidades de respuesta a incidentes.
Cómo responder si se detecta una extensión maliciosa
Cuando se detecta una extensión maliciosa o de alto riesgo, la respuesta no debería limitarse a desinstalarla. Si la extensión tenía acceso amplio, hay que asumir que pudo observar datos o sesiones.
La contención debería incluir aislamiento del endpoint si procede, retirada de la extensión, revisión de persistencia, análisis de tráfico, revocación de sesiones, revocación de tokens, revisión de aplicaciones OAuth autorizadas y análisis de actividad reciente en aplicaciones SaaS.
En entornos Microsoft 365, también conviene revisar reglas de correo, reenvíos, accesos anómalos, cambios en MFA, creación de aplicaciones, consentimientos sospechosos y actividad de descarga. Si hay sospecha de exfiltración de datos, debe activarse el procedimiento de respuesta a incidentes y valoración legal correspondiente.
La lección importante es que una extensión puede haber sido el punto de entrada, pero el incidente puede continuar en la identidad, la sesión o las aplicaciones conectadas.
Una cadena de ataque realista
Imaginemos un caso sencillo. Un empleado instala una extensión que promete resumir correos y mejorar respuestas con IA. La extensión tiene buena apariencia, se instala desde una tienda oficial y solicita permisos amplios para leer páginas y comunicarse con servicios externos.
El usuario accede cada día a Microsoft 365, CRM y herramientas de IA. La extensión observa parte del contenido, captura prompts y registra actividad de navegación. En algún momento, exfiltra datos de sesión, contenido sensible o información suficiente para preparar un ataque posterior.
El atacante no necesita entrar por fuerza bruta. Puede aprovechar la información capturada para secuestrar una sesión, preparar phishing altamente dirigido, solicitar OAuth consent, buscar datos en el correo o moverse hacia otras aplicaciones SaaS.
Si la empresa no controla extensiones, no monitoriza OAuth grants y no tiene telemetría de sesión, puede tardar mucho en entender qué ocurrió. Si, en cambio, dispone de navegador gestionado, allowlist, acceso condicional, EDR, CASB/SSE y SOC, la cadena puede cortarse mucho antes.
Métricas útiles para dirección y comité
Para llevar este riesgo a un comité, conviene traducirlo a métricas. No basta con decir “tenemos muchas extensiones”. Hay que medir exposición y evolución.
Algunos indicadores útiles son el número total de extensiones instaladas, el porcentaje de extensiones aprobadas, el número de extensiones con permisos críticos, las extensiones de IA detectadas, los usuarios privilegiados con extensiones no aprobadas, las aplicaciones OAuth de alto privilegio, los accesos SaaS desde dispositivos no conformes y el tiempo medio de retirada de una extensión no autorizada.
Estas métricas permiten convertir un problema técnico en una conversación de gobierno. También ayudan a demostrar mejora continua en auditorías y revisiones de cumplimiento.
Relación con NIS2, DORA, ENS e ISO 27001
La seguridad de extensiones de navegador no suele aparecer como un control con ese nombre exacto, pero se relaciona con varias áreas habituales de cumplimiento: control de software, gestión de accesos, protección contra malware, seguridad del endpoint, monitorización, gestión de vulnerabilidades, protección de información, respuesta a incidentes y concienciación.
En proyectos de adecuación a NIS2, cumplimiento DORA, ENS o ISO 27001, este riesgo puede integrarse dentro del gobierno de acceso, la protección del puesto, la gestión de SaaS, el control de cambios y la respuesta ante incidentes.
El mensaje para auditoría es claro: la organización no solo controla usuarios y dispositivos; también controla el software que se ejecuta en el entorno desde el que se accede a datos corporativos.
Dónde encaja Hard2bit Scanner
El riesgo de extensiones ocurre principalmente dentro del navegador, el endpoint y las aplicaciones SaaS. Aun así, la seguridad debe mirarse de forma completa.
Antes de revisar lo que ocurre dentro de la sesión, también conviene entender qué expone públicamente la organización desde Internet: DNS, TLS, cabeceras HTTP, seguridad del correo, tecnologías visibles, subdominios, security.txt, robots.txt y señales relacionadas con agentes de IA.
Para esa primera fotografía externa puedes analizar gratis la postura pública de tu dominio con Hard2bit Scanner.
No sustituye una auditoría interna de navegador, IAM o endpoint, pero ayuda a completar la visión de exposición externa y a priorizar acciones.
Cómo puede ayudarte Hard2bit
En Hard2bit ayudamos a empresas a reducir riesgos reales conectando seguridad técnica, operación y cumplimiento.
El riesgo de extensiones de navegador y GenAI requiere una visión combinada: análisis de Microsoft 365, revisión de IAM y postura cloud, control de SaaS y Shadow IT, detección gestionada desde SOC, threat hunting, respuesta a incidentes, seguridad de inteligencia artificial y evidencias para auditoría.
Si tu organización quiere evaluar este riesgo, definir una política de extensiones, revisar accesos OAuth, mejorar la detección de secuestro de sesiones o controlar el uso de GenAI, puedes hablar con un experto de Hard2bit.
Resumiendo el artículo podemos afirmar que las extensiones de navegador han pasado de ser pequeñas utilidades personales a convertirse en una superficie de ataque empresarial. La adopción de GenAI ha acelerado el problema porque muchas extensiones prometen productividad a cambio de acceso a correos, documentos, prompts, sesiones y aplicaciones SaaS.
El riesgo no se resuelve con una única medida. Requiere inventario, política, control de permisos, navegador gestionado, acceso condicional, revisión de OAuth grants, DLP, telemetría para el SOC y capacidad de respuesta.
MFA sigue siendo imprescindible, pero no basta si una sesión ya autenticada puede ser observada, robada o abusada. La seguridad moderna debe proteger no solo la contraseña, sino también la sesión, el navegador y las aplicaciones conectadas.
La pregunta que debería hacerse cualquier empresa no es solo si sus usuarios tienen extensiones instaladas. La pregunta correcta es: ¿sabemos qué extensiones tienen, qué permisos han concedido y qué datos corporativos pueden ver?
Si la respuesta no es clara, es el momento de revisar este riesgo antes de que una extensión aparentemente útil se convierta en el punto de entrada de un incidente.
Disclaimer: Las amenazas descritas en este artículo deben evaluarse según el contexto técnico, legal y operativo de cada organización. No todas las extensiones con permisos amplios son maliciosas, pero sí requieren gobierno, revisión y control proporcional al tipo de datos y aplicaciones a las que accede el usuario. Este artículo tiene finalidad informativa y no sustituye una auditoría técnica, una revisión de configuración, un pentesting ni una evaluación formal de cumplimiento. Para interpretar riesgos y definir medidas concretas, es recomendable contar con asesoramiento especializado.