Cuando se trata de seguridad en línea, nunca se puede ser demasiado cuidadoso; sin embargo, esta guía no trata de programas antivirus, cortafuegos o VPNs, sino de extensiones de Chrome.
Sólo porque una extensión esté en la tienda web de Chrome no significa que sea segura de usar. Ha habido muchos casos de complementos maliciosos que han sido retirados en el pasado después de haber sido instalados por millones de usuarios de Chrome en algunos casos.
Nota: La guía proporciona información adicional para comprobar si las extensiones de cromo son (probablemente) seguras de usar. Puedes consultar la guía de Martin sobre la verificación de las extensiones de Chrome, y especialmente la parte sobre la búsqueda de la fuente.
Índice de contenido
Cómo determinar si una extensión de Google Chrome es segura
Nos centraremos en los pasos que puede seguir antes de instalar las extensiones. A menudo es más fácil determinar si una extensión es sospechosa o completamente maliciosa si la ha instalado, ya que puede ser la causa de cambios o actividades no deseadas visibles, como el secuestro de motores de búsqueda, la visualización de anuncios o ventanas emergentes, o la aparición de otros comportamientos que no se mencionan en la descripción de la extensión.
Los usuarios que conocen el JavaScript también pueden comprobar la fuente de la extensión. Echa un vistazo a la guía de Martin en el enlace de arriba para obtener información sobre cómo hacerlo.
Página de la tienda web
Analice la lista de la extensión y vea si le suena la alarma. La gramática o el inglés roto pueden ser vistos como señales de advertencia pero como los desarrolladores de todo el mundo publican extensiones en la tienda, algunas pueden ser escritas por nativos no ingleses. Los errores gramaticales o de ortografía no pueden ser usados como un indicador. Capturas de pantalla irrelevantes o descripciones muy extrañas, por otro lado, son todos signos reveladores de una extensión maliciosa. Sin embargo, estos son bastante raros.
Logos
Los desarrolladores de malware recurren a todo tipo de trucos para infectar a los usuarios, y uno de ellos es utilizar el logotipo (icono) de marcas o aplicaciones populares. A veces, la gente se deja engañar por estos y piensa que es de la compañía que hace el software real. Presta atención al nombre del desarrollador y haz clic en él para ver sus otras extensiones.
Página web y contacto del desarrollador
¿Tiene la extensión su propia página web? Visítala para aprender más sobre ella y tal vez algo sobre el desarrollador. Recomendamos usar un bloqueador de contenido cuando se visitan estos sitios para evitar problemas si el sitio está específicamente preparado para atacar los decrépitos.
No todas las extensiones tienen una página web, pero la mayoría sí, al menos para las solicitudes de soporte/FAQs. ¿Hay una opción de contacto en la página de la tienda web de Chrome que te permita enviar un correo electrónico al desarrollador? Si hay una es una buena señal, pero la ausencia de una no significa que sea una extensión falsa.
Política de privacidad
¿Esta es quizás la más olvidada? ¿Quién lee la política de privacidad? Deberías, porque a diferencia de los registros de sitios web o acuerdos de software, no se te muestra la política de privacidad de una extensión cuando la instalas. Pero puede existir como una laguna para que el desarrollador salga de una disputa legal, en caso de que surja una. Aceptas la política en el momento en que instalas la extensión.
Use Control + F y busque palabras como datos, recopilar, rastrear, personal, etc. en las políticas de privacidad. Tu navegador debe resaltar las frases que contienen la palabra y debes leer lo que dice.
Si la política es sincera sobre los datos que recogen, piense si vale la pena usar la extensión a costa de la privacidad. Te daré una pista: Nunca es aceptable.
Obviamente, los desarrolladores y las empresas con malas intenciones pueden añadir lo que quieran a la política de privacidad.
Permisos
Cuando haga clic en el botón de instalación, lea la ventana emergente que enumera los permisos que requiere la extensión. Los permisos pueden dar pistas importantes; un complemento para una mejora visual (como un tema) no debería requerir permisos como “Comunicarse con sitios web colaboradores”. Eso significa que podría estar enviando datos, sus datos personales , a algún servidor.
Reseñas
Estas son grandes banderas rojas si sabes cómo identificar las legítimas. ¿Una extensión tiene revisiones? ¿Son todas revisiones de 5 estrellas? Eso es sospechoso. Mira la fecha de publicación de cada revisión. Si encuentras que todas fueron publicadas el mismo día, puede ser sospechoso. Mira el texto también, si se ven más o menos igual, o si los nombres de usuario sólo contienen caracteres aleatorios, debería sonar la alarma y deberías mirar más profundamente.
Echa un vistazo a la captura de pantalla aquí. ¿Qué es lo que ves?
¿Los revisores copiaron/pegaron el comentario? Es posible, pero no fue así en este caso. La extensión tenía múltiples revisiones que usaban los mismos comentarios una y otra vez. De hecho, hubo más de una revisión dejada por el mismo usuario. ¿Es posible que la extensión haya secuestrado al usuario para publicar estas revisiones? ¿O fueron pagadas? Independientemente de esto, recomendaría evitar tales extensiones para estar seguros.
Puede ser una buena idea comprobar si el desarrollador ha comentado alguna de las opiniones de los usuarios. Revisa las siguientes páginas.
Busca extensiones similares, cuidado con los clones
La captura de pantalla que viste arriba no es en realidad de la extensión original. Apuesto a que no te esperabas eso. Era de un clon de otra extensión que tenía un nombre similar, las mismas características, una descripción ligeramente diferente, una política de privacidad idéntica.
Fue alarmante. Lo peor fue que el complemento original tenía un tamaño de unos 2,15 MB, mientras que el clon tenía unos 4,26 MB. Si era un clon, ¿para qué el tamaño extra? Eso da miedo. Así que busca en la tienda web usando palabras clave similares (o el nombre de la extensión), mira los resultados. Mira la fecha de publicación del complemento, el más antiguo es obviamente el original.
De nuevo, si conocieras el JavaScript, podrías analizar el código para averiguar por qué el clon tiene un tamaño que es casi el doble del original. Podría ser algo tan simple como una imagen no comprimida que se utiliza como un logo o un código adicional que puede ser usado para prácticas maliciosas o invasivas.
Código Abierto
Si la extensión es de código abierto, es probable que sea segura. Pero yo no lo daría por sentado. Deberías ir a la página donde se publica el código fuente para ver si realmente existe. También deberías comprobar cuándo se hizo la última confirmación en la página del código fuente. Si la extensión fue actualizada recientemente, pero el código fuente no lo fue, puede que la extensión ya no sea de código abierto y posiblemente esté abierta a problemas de privacidad y seguridad.
Podrías intentar buscar en Google el nombre de la extensión para ver si algún tema, recomendación o revisión fue publicado por los usuarios en las redes sociales. Esto te da una idea del uso de la extensión en el mundo real.
Si te encuentras con extensiones sospechosas, hazte un favor a ti mismo y a todos, e infórmalo a Google.
Algunos de los consejos que mencioné aquí no están necesariamente restringidos a las extensiones de Chrome, sino que también se aplican a las extensiones de otros navegadores como Firefox.