Cómo detectar y eliminar extensiones maliciosas en Chrome

Informatec Digital » Recursos » Cómo detectar y eliminar extensiones maliciosas en Chrome

Las extensiones de Chrome son comodísimas para hacer capturas, bloquear anuncios, traducir páginas o mejorar YouTube, pero también se han convertido en una de las vías favoritas de los ciberdelincuentes para colarnos malware, robar datos o llenarnos el navegador de publicidad invasiva. Aunque se instalen desde la Chrome Web Store, eso no significa que sean siempre seguras ni que Google las detecte a tiempo.

Si buscas cómo detectar extensiones maliciosas en Chrome y qué hacer cuando una herramienta aparentemente inocente empieza a comportarse de forma rara, aquí tienes una guía completa. Verás cómo trabaja la protección de Google, qué señales deben ponerte en alerta, casos reales de extensiones peligrosas con millones de descargas y los pasos concretos para revisar, limpiar y blindar tu navegador.

Por qué las extensiones de Chrome pueden ser peligrosas

Las extensiones son pequeños programas que se ejecutan dentro del navegador y necesitan permisos para acceder a páginas, datos y determinadas funciones del sistema. Ahí está la clave del problema: al conceder esos permisos, abres la puerta a posibles acciones maliciosas si el desarrollador no es de confianza o la extensión se modifica con el tiempo.

Muchas extensiones solicitan leer y modificar tus datos en todos los sitios web que visitas. Esto implica que pueden ver lo que escribes en formularios, observar tu historial, cambiar el contenido de las páginas o inyectar código propio. Es ideal para funcionalidades legítimas como bloqueadores de anuncios o traductores, pero también perfecto para quien quiere espiar o manipular lo que ves.

Otro riesgo importante es el sistema de actualizaciones automáticas. Una extensión puede ser totalmente inofensiva al principio y, tras una actualización, empezar a incluir código malicioso sin que te enteres. Incluso puede volver a actualizarse más tarde y “limpiarse” para pasar desapercibida ante herramientas de seguridad.

También hay casos en los que el creador vende la extensión a otra empresa o grupo que, al tomar el control, introduce nuevas funciones para colocar publicidad, recopilar datos de navegación con fines comerciales o directamente instalar malware. Al usuario final nadie le avisa de ese cambio de manos.

Los antivirus lo tienen difícil para detectar este tipo de amenazas, porque en el momento de la instalación la extensión puede no contener nada peligroso y, solo después, ir descargando o activando código malicioso desde servidores remotos. Por eso no basta con tener un buen antivirus: hay que vigilar también qué complementos instalas en el navegador.

Cómo protege Google Chrome frente a sitios y extensiones peligrosas

Chrome integra de serie el sistema de Navegación segura de Google, que mantiene listas actualizadas de sitios sospechosos de phishing, malware, software no deseado, ataques de ingeniería social, anuncios maliciosos e incluso algunas extensiones dañinas. Cuando intentas entrar en una página peligrosa, verás un aviso con una pantalla roja y el mensaje “Sitio peligroso”.

Si recibes este aviso al navegar, lo recomendable es no continuar. Esa página podría estar intentando robar tus credenciales, instalar software malicioso o engañarte con mensajes tipo “tu ordenador está infectado, descarga este programa”. Lo mismo ocurre con algunos archivos que Chrome considera inseguros: el navegador puede bloquear la descarga y mostrarte un mensaje de advertencia.

Además de la protección estándar, existe la opción Navegación segura mejorada, que ofrece comprobaciones más frecuentes y en tiempo real. Al activarla desde Ajustes > Privacidad y seguridad > Seguridad, Chrome analiza de forma más exhaustiva las webs, descargas y algunas extensiones, aumentando la capacidad de detección de amenazas nuevas.

No se recomienda desactivar Navegación segura. Aunque es posible deshabilitarla desde el apartado de Seguridad, Google indica claramente que la opción Sin protección no es aconsejable. Si usas un ordenador del trabajo o de un centro educativo, puede que el administrador haya fijado esta protección y no te deje cambiarla, precisamente para evitar riesgos.

En algunos casos, Chrome también te muestra mensajes tipo “¿Querías decir ?” cuando sospecha que una URL puede estar suplantando a otra legítima que visitas habitualmente. Si una página se parece demasiado a un servicio conocido o a una dirección de tu historial, el navegador puede advertirte de que podrías estar ante una web falsa.

Señales de que puedes tener malware o una extensión maliciosa

Más allá de los avisos de Chrome, conviene fijarse en síntomas sospechosos que pueden indicar la presencia de malware en el dispositivo o de alguna extensión peligrosa en el navegador. Estos indicios pueden aparecer tanto a nivel de sistema como dentro de Chrome.

En el dispositivo pueden aparecer alertas extrañas de virus que no reconoces como procedentes de tu antivirus, mensajes emergentes insistentes o una ralentización notable del equipo. También es típico que el almacenamiento se reduzca de forma repentina o que el ordenador empiece a bloquearse sin motivo aparente.

En el navegador los síntomas son aún más claros: aumento exagerado de ventanas emergentes, nuevas pestañas que se abren solas, barras de herramientas desconocidas, extensiones que tú no recuerdas haber instalado o cambios constantes en la página de inicio y el buscador predeterminado sin que los hayas tocado.

Otra señal de alarma es sentir que has perdido el control de tu navegación. Por ejemplo, escribes una dirección web conocida y Chrome te lleva a otra página llena de anuncios o contenido sospechoso; o accedes a un buscador legítimo y ves que los resultados tienen enlaces raros, redirecciones agresivas o publicidad muy intrusiva que otros usuarios no ven.

También conviene sospechar si tus contactos empiezan a recibir correos o mensajes desde tus cuentas que tú no has enviado. Esto puede ser señal de que alguna extensión o malware ha robado tus credenciales o está abusando de tus sesiones abiertas en el navegador.

Casos reales: extensiones maliciosas con millones de descargas

En los últimos años se han descubierto decenas de extensiones maliciosas directamente en la Chrome Web Store, con cifras de descargas que asustan. En una investigación conocida, una extensión aparentemente inocente para trabajar con archivos PDF, llamada PDF Toolbox, acumulaba alrededor de dos millones de usuarios y buenas valoraciones, pero incluía código oculto que cargaba scripts arbitrarios desde un dominio externo.

Tras analizar las comunicaciones de esa extensión, se identificó que contactaba con un servidor remoto (por ejemplo, serasearchtopcom) desde el que podía inyectar código en todas las páginas vistas por el usuario. A partir de esa pista, se localizaron varias docenas de extensiones que se conectaban al mismo servidor y compartían un comportamiento similar.

El investigador que descubrió PDF Toolbox amplió su búsqueda y acabó identificando 34 extensiones con funcionalidades principales muy diversas (bloqueadores de anuncios, lectores, herramientas para YouTube, VPNs, etc.), pero con el mismo patrón de comportamiento malicioso. En conjunto, sumaban alrededor de 87 millones de descargas. La más popular, Autoskip for Youtube, superaba por sí sola los nueve millones de instalaciones.

Estas extensiones llevaban meses disponibles en la tienda oficial, algunas desde 2021 y 2022, y pese a que ya existían reseñas de usuarios avisando de comportamientos raros (como enlaces de resultados de búsqueda que se sustituían por adware), no se tomaron medidas inmediatas. No fue hasta que varios expertos publicaron análisis detallados cuando Google decidió eliminarlas de la Chrome Web Store.

El problema añadido es que, aunque se borren de la tienda, las extensiones no desaparecen automáticamente de los navegadores donde ya están instaladas. Es decir, si tú no entras en chrome://extensions y las eliminas a mano, pueden seguir activas y funcionando sin que te enteres.

En este listado se mencionaron extensiones especialmente problemáticas, entre otras: Autoskip for Youtube, Soundboost, Crystal Adblock, Brisk VPN, Clipboard Helper, Maxi Refresher, Quick Translation, Easyview Reader view, PDF Toolbox, Epsilon Ad blocker, Craft Cursors, Alfablocker ad blocker, Zoom Plus, Base Image Downloader, Clickish fun cursors, Cursor-A custom cursor, Amazing Dark Mode, Maximum Color Changer for Youtube, Awesome Auto Refresh, Venus Adblock, Adblock Dragon, Readl Reader mode, Volume Frenzy, Image download center, Font Customizer, Easy Undo Closed Tabs, Screence screen recorder, OneCleaner, Repeat button, Leap Video Downloader, Tap Image Downloader, Qspeed Video Speed Controller, HyperVolume y Light picture-in-picture.

Caso práctico: extensiones difundidas desde webs de películas online

Otro escenario muy habitual son los sitios de películas y streaming en línea que abusan de publicidad agresiva. Algunos de estos portales utilizan scripts que, al hacer clic sobre determinadas zonas (por ejemplo, el reproductor de vídeo), disparan una cadena de redirecciones que termina en la instalación de una extensión maliciosa de Chrome.

En campañas analizadas se detectó que estos sitios cargaban scripts externos a través de servicios de rotación publicitaria como SmartAdTags. Dependiendo de la campaña activa, el usuario podía acabar viendo un falso mensaje de “Aceptar | Cancelar” acompañado de un audio en español que le instaba a “instalar la extensión para cerrar este sitio”, con el enlace directo a la Chrome Web Store.

Las extensiones distribuidas de esta forma pueden seguir dos estrategias. Algunas son extensiones legítimas que han sido modificadas para incluir código adicional malicioso en archivos JavaScript (por ejemplo, jQuery con funciones inyectadas y ofuscadas). Otras están creadas desde cero con fines puramente maliciosos, lo que facilita su análisis pero las hace igual de peligrosas.

Una vez instaladas, estas extensiones suelen manipular el tráfico web: cargan scripts remotos en cada página que visitas, insertan iframes con contenido de terceros y abren pop‑ups o nuevas pestañas cargadas de publicidad. En algunos casos, llegan incluso a impedir que gestiones tus propias extensiones redirigiéndote cuando intentas entrar en chrome://extensions/.

Entre las extensiones analizadas en estas campañas se encontraron nombres como Cursor-Bubble, Kaplivnos, JumperGame, ogleen, Meta-crawExtension, Kabelshuk, Tyagelosik, Share on Rabbit o iklear, todas ellas con ficheros .crx firmados y con hashes conocidos. Aunque muchas ya no están disponibles, es un buen ejemplo de cómo un simple clic en una web de streaming puede acabar metiendo una extensión peligrosa en tu navegador.

Cómo saber si una extensión puede ser maliciosa antes de instalarla

El primer filtro siempre debería ser el desarrollador. Antes de instalar una extensión, revisa quién la firma, si tiene página web oficial, perfil en GitHub u otros proyectos reconocidos. Las herramientas de empresas conocidas o desarrolladores con trayectoria son, en general, más fiables que un autor desconocido sin ninguna referencia.

Otro punto clave es leer con calma la página de la extensión en la Chrome Web Store: fíjate en la calidad de la descripción, si hay faltas de ortografía llamativas, textos genéricos copiados, imágenes que no tienen nada que ver con la función del complemento o información muy pobre sobre la empresa o el soporte. Todo eso debería hacerte levantar la ceja.

Las reseñas y el número de usuarios también aportan pistas. Un volumen alto de instalaciones con opiniones variadas suele ser mejor señal que una extensión con pocas descargas y valoraciones sospechosamente perfectas o muy recientes. También es buena idea leer las opiniones negativas, donde a menudo los usuarios avisan de cambios raros, anuncios inesperados o comportamiento intrusivo.

Pero el factor más importante son los permisos que pide la extensión. Antes de instalar, Chrome te muestra un resumen de los accesos solicitados. Si, por ejemplo, una extensión que solo debería cambiar el color del cursor te pide permiso para leer y modificar todos tus datos en todos los sitios web, acceder a tu historial completo o comunicarse con aplicaciones externas, mejor dale puerta y busca otra alternativa más respetuosa.

Si la extensión ya está instalada, puedes revisar en detalle sus permisos desde el menú de Chrome y entrando en Más herramientas > Extensiones > Detalles. Ahí verás a qué partes del navegador accede, si puede funcionar en modo incógnito, en qué sitios tiene permiso para ejecutarse y si está habilitada la ejecución en segundo plano.

Cómo usar la nueva función de Chrome para detectar extensiones eliminadas por malware

Google ha añadido una función específica para avisarte cuando una extensión que tienes instalada ha sido retirada de la Chrome Web Store. Normalmente, cuando Google elimina una extensión es porque ha encontrado que viola sus políticas, incluye malware o se comporta de forma dañina.

Esta herramienta se integra en la Verificación de seguridad dentro del apartado Privacidad y seguridad de los ajustes de Chrome. Al hacer clic en Verificar ahora, el navegador analiza las extensiones instaladas y te muestra cuáles han sido eliminadas de la tienda, indicando el motivo general de la retirada cuando está disponible.

La función no borra por sí sola las extensiones marcadas, pero sí te lanza una advertencia muy clara para que las desinstales cuanto antes. Si prefieres mantener alguna bajo tu responsabilidad, Chrome suele darte la opción de conservarla, aunque es algo que solo debería hacerse si tienes motivos muy sólidos para confiar en ella.

Aunque inicialmente está prevista para versiones recientes como Chrome 117, se puede activar en versiones inmediatamente anteriores a través de las banderas experimentales. No obstante, para la mayoría de usuarios es mejor esperar a que llegue de forma estable y utilizarla directamente desde el menú de configuración.

Cómo eliminar extensiones maliciosas (visibles y ocultas) en Chrome

Eliminar extensiones sospechosas visibles es bastante sencillo. Entra en Chrome, pulsa en los tres puntos de la esquina superior derecha, ve a Más herramientas y luego a Extensiones. Aparecerá la lista completa de complementos instalados, tanto activos como desactivados.

Para desinstalar una extensión visible, localízala en el listado y pulsa en Quitar. Chrome te pedirá confirmación; al aceptar, se elimina por completo. Si solo quieres deshabilitarla temporalmente, puedes usar el interruptor que aparece junto a cada nombre: al ponerlo en gris, la extensión deja de ejecutarse, pero sigue instalada por si más adelante decides volver a activarla.

El problema viene con las extensiones ocultas o que no aparecen en el menú de extensiones, algo que es típico de secuestradores del navegador y complementos especialmente agresivos. En estos casos, hay que ir a las carpetas internas donde Chrome guarda los datos de usuario y borrar manualmente los directorios de las extensiones problemáticas.

En Windows, con Chrome cerrado, abre el Explorador de archivos y navega hasta la ruta de tu perfil de Chrome (por ejemplo, C:\Documents and Settings\nombredeusuario\Local Settings\Application Data\Google\Chrome\User Data\Default) y entra en la carpeta Extensions. Verás muchas subcarpetas con nombres formados por cadenas de letras.

Cada subcarpeta corresponde a una extensión instalada. Para saber cuál es cuál, abre la carpeta de versión que hay dentro de cada una y localiza el archivo manifest.json. Si lo abres con un editor de texto, verás el campo short_name o name, que suele indicar el nombre de la extensión. Cuando identifiques una extensión maliciosa, vuelve a la carpeta principal de Extensions y elimina por completo su carpeta.

En macOS el proceso es similar, pero la ruta cambia. Con Finder abierto, usa el atajo Comando + Mayús + G, pega la ruta ~/Library/Application Support/Google/Chrome/Default/Extensions y pulsa Intro. Desde ahí, repite el mismo procedimiento: abre las carpetas de letras, entra en la subcarpeta de versión, consulta el manifest.json y borra las que correspondan a extensiones peligrosas.

Tras eliminar las carpetas sospechosas en Windows o Mac, vuelve a abrir Chrome y revisa de nuevo la página de extensiones. A partir de ahí, conviene hacer una pasada con un antivirus actualizado y, si el navegador sigue comportándose de forma extraña, plantearse un restablecimiento de configuración.

Cómo quitar malware y restablecer Chrome paso a paso

Si sospechas que el problema va más allá de una simple extensión y que puede haber malware en el equipo, lo primero es hacer un análisis completo con una solución de seguridad fiable. Tanto en Windows como en macOS existen herramientas capaces de detectar software malicioso que se esconde detrás del navegador.

En Windows es esencial tener Windows Defender (o cualquier otro buen antivirus) activo y actualizado. Un escaneo completo del sistema puede localizar programas no deseados que hayan llegado de la mano de extensiones maliciosas, descargadores dudosos o webs engañosas.

En macOS también conviene recurrir a un software de seguridad especializado, especialmente si notas que el sistema se ha vuelto inestable, aparecen procesos desconocidos o el navegador sufre redirecciones constantes. Aunque el ecosistema de Apple suele estar algo más controlado, no es inmune a este tipo de amenazas.

Una vez eliminadas las posibles infecciones, el siguiente paso es limpiar Chrome. Para ello puedes restablecer la configuración del navegador a sus valores originales. Entra en Ajustes, baja hasta el final y abre Configuración avanzada. En Windows, en el apartado Recuperar configuración y limpiar, encontrarás la opción Restablecer configuración. En Mac, en la sección Restablecer configuración, tendrás la opción Restaurar los valores predeterminados originales de la configuración.

Al restablecer Chrome se borran los cambios no deseados que hayan podido hacer extensiones o malware: se restauran la página de inicio, el buscador predeterminado, las pestañas de inicio y se desactivan todas las extensiones. Tus marcadores, historial y contraseñas suelen mantenerse, pero revisa siempre el resumen que te ofrece Chrome antes de confirmar.

Después del restablecimiento, revisa de nuevo la lista de extensiones y activa solo aquellas en las que confíes plenamente. Si dudas de alguna, es mejor desinstalarla y buscar una alternativa más segura. Aprovecha también para actualizar el sistema operativo y las aplicaciones principales, ya que muchas amenazas se aprovechan de fallos de seguridad en versiones antiguas.

Buenas prácticas para usar extensiones de Chrome con seguridad

La primera regla de oro es instalar solo las extensiones que realmente necesitas. Cuantas menos tengas, menor será la superficie de ataque. Es muy fácil ir acumulando complementos que dejas de usar y que, sin embargo, siguen teniendo acceso a tus datos cada vez que navegas.

Haz una auditoría periódica de tus extensiones: entra cada cierto tiempo en chrome://extensions y elimina sin miedo todo lo que no utilices o no recuerdes haber instalado. Las extensiones que no aportan un valor claro solo sirven para ocupar recursos, ralentizar el navegador y aumentar el riesgo.

Antes de instalar cualquier complemento nuevo, revisa de manera crítica los permisos que solicita. Si ves que pide acceso a datos o funciones que no tienen relación con lo que promete hacer, tómalo como una bandera roja. Siempre hay alternativas más respetuosas con la privacidad.

No confíes ciegamente en que la Chrome Web Store lo filtra todo. Aunque Google analiza las extensiones antes de publicarlas, la experiencia ha demostrado que muchas amenazas se cuelan y permanecen activas durante meses o años, incluso con reseñas de usuarios advirtiendo de problemas. Considera la tienda oficial como un filtro básico, no como una garantía absoluta.

Y, por último, navega con sentido común: desconfía de webs que te fuerzan a instalar extensiones para ver contenido, de mensajes alarmistas sobre supuestos virus que solo se solucionan descargando un complemento y de promesas demasiado buenas para ser verdad. En el terreno de las extensiones, la desconfianza sana es tu mejor aliada.

Cuidar las extensiones que instalas, vigilar sus permisos y aprovechar las protecciones de Chrome es la forma más efectiva de mantener a raya las extensiones maliciosas. Si combinas estas buenas prácticas con un antivirus competente y revisiones periódicas de tu navegador, reducirás al mínimo las probabilidades de que un complemento aparentemente inocente acabe convirtiéndose en la puerta de entrada de malware o robos de datos.