Extensiones corruptas en Chrome: riesgos, ejemplos y cómo protegerte

Las extensiones de Chrome se han convertido en una parte casi imprescindible del navegador: traducen páginas, bloquean anuncios, guardan contraseñas, mejoran el audio, toman capturas de pantalla… pero esa misma comodidad puede abrir la puerta a problemas serios de seguridad y privacidad si alguna de esas extensiones está corrupta o es maliciosa. Cuando Chrome muestra avisos del tipo “This extension may have been corrupted” o cuando una extensión empieza a comportarse de forma rara, no conviene mirarlo como un simple fallo sin importancia.

A lo largo de los últimos años, distintas investigaciones de empresas de ciberseguridad y del propio Google han sacado a la luz decenas de extensiones corruptas o directamente maliciosas en Chrome Web Store, algunas de ellas con millones de usuarios. Muchas pedían permisos excesivos, robaban cookies de sesión, secuestraban resultados de búsqueda, inyectaban anuncios, instalaban malware o rastreaban de forma masiva la actividad del usuario. En este artículo vamos a desgranar qué está pasando, cómo funcionan estas amenazas, qué relación tienen con los mensajes de extensión dañada y qué puedes hacer para protegerte.

Por qué las extensiones de Chrome pueden ser un riesgo real

Una extensión de navegador no es un simple “extra visual”: es un pequeño programa con capacidad de leer y modificar lo que ves y haces en la web. Para poder funcionar, muchas extensiones necesitan permisos muy amplios, como “Leer y cambiar todos tus datos en los sitios web que visitas”. Eso permite que, por ejemplo, un traductor muestre la versión traducida de un texto en lugar del original, pero también significa que tiene poder para alterar formularios, resultados y contenidos de cualquier página.

El problema es que la mayoría de usuarios da estos permisos sin pensarlo, asumiendo que, por venir de Chrome Web Store, todas las extensiones son seguras por defecto. Mientras que solemos desconfiar de un ejecutable descargado de una web extraña, tendemos a instalar complementos del navegador casi en piloto automático, sin revisar quién los desarrolla ni qué permisos exactos solicitan.

Los ciberdelincuentes han aprendido a sacar partido de esa confianza: crean extensiones que se presentan como bloqueadores de anuncios, herramientas de seguridad, optimizadores de audio o utilidades para YouTube, pero cuyo verdadero objetivo es monetizar tus datos, secuestrar tu navegación o espiar tu actividad. En muchos casos, incluso cumplen la función que prometen, de modo que pasan desapercibidas durante meses.

Para empeorar el escenario, algunas extensiones maliciosas se publican como “ocultas” en la tienda: no aparecen en las búsquedas ni se indexan en buscadores, y solo se instalan si el usuario hace clic en un enlace directo proporcionado por anuncios, campañas de phishing o webs comprometidas. Esto dificulta que los moderadores y los propios usuarios las detecten a tiempo.

Extensiones sospechosas con permisos excesivos y comportamiento espía

Una de las investigaciones más llamativas fue la que destapó al menos 57 extensiones sospechosas en Chrome Web Store con más de seis millones de usuarios. Todo arrancó con el análisis de un complemento llamado Fire Shield Extension Protection, anunciado como una especie de “antivirus para el navegador” capaz de revisar los permisos de otras extensiones e informar de riesgos.

Lo primero que llamó la atención al investigador John Tuckner fue que Fire Shield estaba publicado como extensión oculta, pero con más de 300.000 usuarios. Ese perfil no encaja con una herramienta corporativa interna ni con un producto en fase de pruebas, que suelen ser los motivos legítimos para ocultar aplicaciones en tiendas oficiales.

Además, la funcionalidad prometida (analizar permisos de otros complementos) solo necesitaba acceso a la API chrome.management. Sin embargo, la extensión solicitaba un abanico de permisos muchísimo más amplio, que incluía acceso a todas las webs, cookies, actividad del usuario y otros datos sensibles. Es decir, tenía poder para monitorizar y manipular prácticamente todo lo que haces en Chrome.

Durante el análisis de su código, Tuckner encontró referencias a un dominio con nombre sospechoso, unknowcom (clara errata de “unknown”), típico truco de typosquatting utilizado por estafadores. Tirando de ese hilo, logró relacionar ese dominio con unas 35 extensiones adicionales, todas ellas con nombres muy similares, amplios permisos injustificados y descripciones genéricas centradas en bloquear anuncios, mejorar los resultados de búsqueda o reforzar la privacidad.

En la práctica, muchas de esas extensiones ni siquiera contenían el código necesario para hacer lo que prometían en la ficha de Chrome Web Store. Lo que sí compartían era una serie de capacidades muy peligrosas:

• Rastrear cada movimiento del usuario en Chrome, incluyendo clics, páginas visitadas y tiempo de permanencia.
• Modificar el motor de búsqueda predeterminado y los resultados, insertando enlaces patrocinados o redirigiendo a webs poco fiables.
• Inyectar y ejecutar scripts en las páginas visitadas, lo que permite inyectar anuncios, minar criptomonedas o robar información de formularios.
• Activar remotamente un modo de seguimiento avanzado tras un tiempo de uso o bajo órdenes de un servidor de comando y control.

El conjunto de evidencias (código similar, comportamiento repetido, mismo dominio de control, posibilidad de activación remota del espionaje) llevó a los analistas a concluir que todas estas extensiones formaban parte de una misma familia de spyware o ladrones de datos, especialmente orientados al robo de cookies de sesión y al seguimiento masivo de la actividad del usuario.

Listado de extensiones maliciosas muy populares y sus tácticas

No se trata de casos aislados. Otras investigaciones de empresas de seguridad han destapado numerosas extensiones maliciosas o corruptas que llegaron a acumular millones de instalaciones antes de ser retiradas de la tienda oficial. Muchas aparentaban ser herramientas útiles y muy sencillas, pero escondían un comportamiento malicioso.

Algunos casos representativos son:

• Autoskip para YouTube: prometía pulsar automáticamente el botón “Omitir anuncios” en YouTube. Detrás de esa función tan cómoda se escondía una extensión que contenía malware e iba recopilando datos del navegador de millones de usuarios, hasta alcanzar unos nueve millones de usuarios activos semanales.
• Soundboost: muy popular para “mejorar” u optimizar el audio en el navegador, con más de siete millones de usuarios semanales. Se retiró de Chrome Web Store al descubrirse que ocultaba código malicioso en el interior de la extensión.
• Crystal Ad Block: irónicamente se presentaba como bloqueador de anuncios y spyware, pero tras ganar 6,8 millones de usuarios se demostró que era ella misma la fuente de publicidad no deseada y actividades sospechosas.
• Fast VPN: ofrecía acceso VPN para saltarse bloqueos y restricciones geográficas. Llegó a tener 5,6 millones de usuarios semanales, pero fue retirada tras comprobarse que se comportaba de forma maliciosa y no respetaba la privacidad prometida.
• Clipboard Helper: decía solucionar el típico lío de copiar y pegar manteniendo un historial del portapapeles. En realidad fue usada por 3,5 millones de personas mientras redireccionaba y manipulaba los resultados de búsqueda en segundo plano.
• Maxi Refresher: actualizaba automáticamente páginas web a intervalos predefinidos, una utilidad aparentemente inocente. Sin embargo, también contenía malware integrado y fue retirada tras alcanzar otros 3,5 millones de usuarios activos.

En paralelo, otra investigación independiente identificó 16 extensiones de Chrome maliciosas, destinadas a funcionalidades como realizar capturas de pantalla, limitar anuncios o añadir emojis, que según los datos disponibles habrían comprometido a más de 3,2 millones de usuarios. La mecánica se repetía: los complementos podían inyectar código malicioso en el navegador y desplegar un troyano para obtener control remoto, robar información confidencial o abrir la puerta a accesos no autorizados.

En cuanto se notificaron estos hallazgos a Google, las extensiones se eliminaron de Chrome Web Store. Sin embargo, es importante entender que, a pesar de esos controles y reacciones rápidas, no existe garantía de seguridad absoluta ni siquiera en la tienda oficial. De ahí la importancia de que el propio usuario mantenga un mínimo de vigilancia y sentido común.

Tipos de extensiones maliciosas y qué pueden hacer

No todas las extensiones maliciosas se comportan igual: algunas están centradas en publicidad agresiva, otras en el robo directo de credenciales y otras solo preparan el terreno para infecciones posteriores. A grandes rasgos, los investigadores suelen agruparlas en varias categorías según sus tácticas principales.

Por un lado están las extensiones de adware o publicidad invasiva, diseñadas para mostrar anuncios emergentes, banners superpuestos, vídeos automáticos o enlaces patrocinados en cualquier página, aunque no deberían estar ahí. De paso, suelen recopilar datos de navegación y preferencias para afinar ese bombardeo publicitario o vender la información a terceros.

Otro conjunto peligroso son las extensiones de phishing. Estas pueden redirigir a sitios web falsos que imitan a bancos, redes sociales o tiendas online, o incluso inyectar formularios superpuestos sobre páginas legítimas. Su meta es robar credenciales, datos financieros o cualquier información personal que luego pueda usarse para fraude, robo de identidad o accesos no autorizados.

También existen las extensiones que actúan como instaladores de malware. Una vez instaladas, descargan e introducen en el sistema troyanos, spyware, ransomware u otro tipo de código malicioso, a veces de forma silenciosa y otras convenciendo al usuario para que ejecute supuestos archivos “inofensivos” que en realidad son el malware empaquetado.

Las llamadas extensiones mineras de datos se enfocan en recolectar un perfil detallado de la actividad en línea: páginas visitadas, términos de búsqueda, clics, duración de las sesiones, incluso datos personales si pueden acceder a formularios. Esta información se puede monetizar mediante publicidad dirigida o vender a intermediarios, con un impacto enorme en la privacidad.

Finalmente, algunas extensiones pueden participar en la creación de botnets basadas en navegador. En este caso, cada copia instalada de la extensión convierte el navegador de la víctima en un “bot” que, bajo las órdenes de un servidor de control, puede enviar spam, propagar malware a otros equipos o lanzar ataques de denegación de servicio (DDoS). Todo ello sin que el usuario tenga la menor idea de lo que está pasando en segundo plano.

Mensajes de “This extension may have been corrupted” y causas habituales

En medio de este contexto de riesgos, Chrome incorpora varios mecanismos de protección. Uno de ellos es el aviso “This extension may have been corrupted”, que aparece cuando el navegador detecta que el archivo de una extensión instalada podría estar dañado o modificado respecto a la versión original.

Para revisar el estado de los complementos, basta con ir a chrome://extensions en la barra de direcciones. Allí podrás ver qué extensiones están activas, cuáles muestran errores y, en caso de corrupción detectada, normalmente aparecerá el botón Reparar. En muchos casos, hacer clic en ese botón hace que Chrome vuelva a descargar los archivos desde la tienda oficial y solucione el problema.

Si haces clic en Detalles dentro de cada extensión, podrás ver más información sobre el desarrollador, los permisos que solicita y las opciones de ejecución. En entornos corporativos, se recomienda que las extensiones críticas se instalen mediante políticas de grupo, ya que así el propio navegador puede forzar su reinstalación o reparación automática si detecta corrupción o alteraciones.

Las causas de este mensaje pueden ser variadas: desde un fallo en la descarga o actualización de la extensión hasta interferencias de otros programas (como antivirus muy agresivos) o incluso modificaciones maliciosas en los archivos. Por eso, si el aviso se repite y no se soluciona con la reparación, conviene desinstalar la extensión, revisar el sistema en busca de malware y, solo si es de confianza, volver a instalarla.

Otro síntoma de problemas relacionados con extensiones es que de repente dejan de funcionar o se comportan de forma errática. Por ejemplo, herramientas que interactúan con la página (traductores, analizadores de tecnologías web, capturadores de pantalla) pueden dejar de reaccionar o fallar a ratos. En ocasiones se arreglan al desactivar y volver a activar la extensión, pero si el fallo persiste puede indicar conflictos con otros complementos o una corrupción de archivos que exige reinstalación.

Extensiones que se deshabilitan solas y complementos no permitidos

Chrome también puede llegar a desactivar extensiones de forma automática cuando sospecha que no son seguras o que no se han instalado por canales permitidos. Si ves un mensaje indicando que ciertas extensiones se han inhabilitado, significa que el navegador ha tomado esa decisión para proteger tus datos durante la navegación.

El navegador solo permite activar de forma permanente las extensiones que proceden de Chrome Web Store, sobre todo en sistemas Windows y macOS. Aquellas que se instalan de manera manual o desde fuentes externas, como archivos CRX arrastrados al navegador, corren el riesgo de ser bloqueadas. Estas extensiones “no publicadas” aparecerán atenuadas en la página de gestión y no se podrán reactivar mientras no cumplan las políticas de seguridad.

Si realmente necesitas usar una extensión deshabilitada que no está en la tienda oficial, la única vía segura es contactar con su desarrollador y pedirle que la publique en Chrome Web Store. De ese modo pasará por el proceso de revisión de Google y todos los usuarios podrán instalarla o reactivarla sin forzar la seguridad del navegador.

En entornos empresariales, además, los equipos pueden estar administrados de forma centralizada. En esos casos, es posible que el departamento de TI tenga políticas que bloqueen extensiones no autorizadas o que requieran versiones mínimas de Chrome para seguir usándolas. Si te falla la instalación de un complemento en un equipo gestionado, probablemente necesites la intervención de tu administrador.

Cómo gestionar, actualizar y reparar extensiones problemáticas

Más allá de los mensajes de corrupción, muchas incidencias con extensiones se resuelven con unas cuantas acciones básicas sobre el navegador. Mantener tanto Chrome como los complementos al día suele ser un primer paso casi obligado cuando algo deja de funcionar como debería.

Para empezar, conviene asegurarse de que Chrome está actualizado a la última versión estable. Puedes comprobarlo desde el menú de la esquina superior derecha, entrando en Configuración y buscando la sección “Acerca de Chrome”. Si hay una actualización pendiente, se descargará y se aplicará tras reiniciar el navegador.

En cuanto a las extensiones, si una concreta (por ejemplo, una herramienta de creación de contenidos o un builder como Appcues) empieza a dar errores raros, es buena idea desactivar temporalmente otras extensiones que puedan interferir. Gestores de contraseñas, correctores gramaticales, extensiones que inyectan iconos en campos de entrada o que modifican formularios suelen ser sospechosos habituales de conflictos.

Si el problema persiste, un procedimiento clásico es desinstalar la extensión problemática, borrar la caché y los datos del navegador y volver a instalarla desde su fuente original. En algunos servicios, como Appcues, también se recomienda cerrar sesión en la plataforma, intentar cargar la extensión para que vuelva a pedir autenticación y comprobar si así se restablece el funcionamiento normal.

Si aun así el complemento se resiste a funcionar o vuelve a aparecer como corrupto, lo prudente es ponerse en contacto con el soporte del desarrollador, facilitando capturas de pantalla, versión de Chrome, sistema operativo y lista de otras extensiones instaladas. A veces hay bugs específicos que solo se solucionan con una actualización por parte del creador.

Cómo ver, eliminar y localizar extensiones ocultas en Chrome

Una parte clave de la seguridad pasa por saber qué tienes instalado realmente en el navegador. El primer paso está en Chrome: desde los tres puntos del menú, entra en “Más herramientas” y luego en “Extensiones” para ver la lista completa de complementos descargados, con la opción de desactivarlos o eliminarlos desde ahí.

Si solo quieres deshabilitar una extensión de forma temporal, basta con mover el interruptor hacia la izquierda; quedará en gris cuando esté inactiva. Si en cambio prefieres borrarla del todo, utiliza el botón Quitar y confirma la eliminación. De este modo podrás ir probando cómo cambia el comportamiento del navegador al ir retirando extensiones sospechosas.

Ahora bien, no todas las amenazas se dejan ver tan fácil. Existen extensiones ocultas o instaladas de formas poco habituales que no siempre aparecen claramente en el panel. En esos casos, es posible investigar directamente en las carpetas del sistema donde Chrome almacena sus extensiones.

En Windows, con el navegador cerrado, puedes abrir el Explorador de archivos y pegar una ruta similar a:
C:\Documents and Settings\nombredeusuario\Local Settings\Application Data\Google\Chrome\User Data\Default. Dentro deberías encontrar una carpeta llamada Extensions, que contiene subcarpetas con cadenas de letras como nombre. Cada una corresponde a una extensión instalada.

Para averiguar qué es cada una, entra en una de esas carpetas, abre la subcarpeta cuyo nombre es un número de versión y localiza el archivo manifest.json. Abriéndolo con un editor de texto podrás ver, entre otros, el campo short_name, que indica el nombre de la extensión. Si confirmas que se trata de un complemento no deseado o sospechoso, puedes borrar directamente la carpeta correspondiente y luego reiniciar Chrome para que deje de cargarla.

En macOS el proceso es muy parecido, pero accediendo mediante Finder y el atajo Comando + Mayús + G a la ruta ~/Library/Application Support/Google/Chrome/Default/Extensions. A partir de ahí, se siguen los mismos pasos que en Windows: inspeccionar las carpetas, abrir el manifest.json y eliminar las extensiones que no deban estar ahí.

Buenas prácticas para no caer en extensiones corruptas o maliciosas

Evitar problemas con las extensiones es, en buena medida, cuestión de aplicar unas cuantas pautas sensatas antes de instalar y mientras se usan. No hay fórmula mágica, pero sí una serie de medidas que reducen mucho el riesgo.

La primera y más evidente es no descargar complementos desde webs desconocidas o poco confiables. Siempre que puedas, recurre a Chrome Web Store u otras tiendas con cierto control de calidad. Aun así, incluso dentro de la tienda oficial conviene ser selectivo y no dejarse llevar solo por el nombre atractivo o los iconos bonitos.

Antes de instalar nada, revisa con calma los permisos que solicita la extensión. Si una herramienta para bloquear anuncios quiere acceder a la webcam, al micrófono o a tu ubicación precisa, hay algo que no cuadra. Lo mismo con un buscador de recetas que pide leer tu correo electrónico o gestionar tus descargas. Si un permiso no tiene sentido para la función ofrecida, tómatelo como una señal de alarma.

También es útil echar un vistazo a las reseñas y valoraciones de otros usuarios. Los comentarios negativos con referencias a comportamientos extraños, incremento de anuncios, redirecciones raras o problemas de rendimiento son pistas muy valiosas. No te fíes únicamente de la nota media; el detalle de las opiniones recientes suele dar más información.

Otra capa de prudencia consiste en investigar un poco al desarrollador. Muchas extensiones legítimas cuentan con página web propia, repositorio en GitHub o relación pública con una empresa reconocida. Si no encuentras nada sobre quien firma la extensión, o si solo aparece en portales dudosos, mejor pensárselo dos veces antes de instalar.

Por último, no acumules complementos “por si acaso”. Cuantas más extensiones tengas activas, mayor superficie de ataque y más posibilidades de conflictos. Instala únicamente las que realmente utilizas, mantenlas actualizadas y revisa cada cierto tiempo la lista para deshacerte de las que ya no te hagan falta o en las que hayas dejado de confiar.

Cómo detectar señales de que una extensión se ha corrompido o es peligrosa

Además de los avisos directos de Chrome, tu propia experiencia de navegación puede darte pistas claras de que alguna extensión está haciendo de las suyas. Conviene estar atento a ciertos cambios repentinos en el comportamiento del navegador que no tienen una explicación obvia.

Un indicador clásico es la aparición repentina de muchos más anuncios de lo habitual, especialmente ventanas emergentes agresivas, banners superpuestos o mensajes de scareware que intentan asustarte con supuestos virus para que descargues software dudoso. Si solo tú ves ese comportamiento y otras personas, con otros equipos, no lo experimentan al visitar las mismas webs, es muy posible que el origen esté en alguna extensión.

Otro síntoma frecuente es que el navegador empiece a ir mucho más lento, con cuelgues, consumo excesivo de CPU o memoria y retrasos al abrir páginas sencillas. Las extensiones maliciosas que minan criptomonedas, inyectan anuncios o participan en botnets pueden disparar el uso de recursos sin que se note nada a simple vista más allá del rendimiento pésimo.

También hay que desconfiar si el navegador te redirige a sitios distintos de los que tecleas manualmente, o si tu motor de búsqueda predeterminado cambia sin tu consentimiento y empiezan a aparecer resultados llenos de publicidad y enlaces de dudosa procedencia. Es típico de extensiones que secuestran la configuración de búsqueda para monetizar tus consultas.

Si detectas cualquiera de estas señales, lo más sensato es desactivar temporalmente todas las extensiones y ir reactivándolas una a una mientras compruebas si el comportamiento extraño reaparece. Cuando hayas identificado la culpable, elimínala, pasa un análisis con una solución de seguridad fiable y replantea tu criterio de instalación para el futuro.

La gestión adecuada de las extensiones en Chrome, junto con el uso de herramientas de seguridad que alerten de permisos sospechosos y extensiones no verificadas, marca la diferencia entre un navegador cómodo y seguro y uno convertido en coladero de malware, espionaje y problemas de rendimiento. Mantener actualizados Chrome y tus complementos, revisar de forma periódica lo que tienes instalado, desconfiar de los permisos desproporcionados y reaccionar ante cualquier comportamiento raro son pasos sencillos que ayudan a que esas “pequeñas ayudas” del navegador no se conviertan en el origen de un buen susto digital.