Riesgos en el uso de extensiones para los navegadores y medidas de seguridad

Generalmente, en los equipos de una organización, los permisos que tienen los usuarios están limitados para que no puedan instalar software a su antojo. Para ello, deberán contar con el consentimiento del administrador, ya que sin esta supervisión, una instalación supondría un riesgo de seguridad. Esto es lo que se denomina política de aplicaciones permitidas y siempre es recomendable tenerla implementada en cualquier empresa.

Cuando los usuarios requieren de ciertas herramientas que no están contempladas en el listado de la política de la empresa, una forma de conseguir algún tipo de funcionalidad es a través de extensiones para los navegadores. Administrar extensiones para los navegadores no suele estar reflejado en los permisos y restricciones de usuario, por lo que cualquiera podría añadir las que considere oportunas.

Riesgos asociados al uso de extensiones para los navegadores

Las extensiones, también conocidas como complementos o add-ons, son herramientas que otorgan a los navegadores web funcionalidades extra que por defecto no tienen. Existen multitud de aplicaciones de este tipo con una gran variedad de funcionalidades que pueden ir desde bloquear ventanas emergentes o gestionar las contraseñas hasta simplemente cambiar la imagen de fondo del navegador.

Añadir sin ningún control tantas extensiones como se desee en los navegadores, puede llegar a suponer un riesgo para la seguridad de la organización. En algunos navegadores, como Chrome o Firefox, la instalación de estos add-ons requiere que el usuario otorgue una serie de permisos, como por ejemplo, leer y modificar el contenido de las webs que se visitan. El funcionamiento de estos permisos es limitado, ya que si no se aceptan, no se permite la instalación. Al final, se trata de una acción natural por un lado e inconsciente por otro, ya que los usuarios aceptan con el único objetivo de conseguir la funcionalidad deseada.

Algunos complementos, por inofensivos que parezcan podrían llevar a cabo actividades maliciosas. ¿Quién podría llegar a pensar que un sencillo bloc de notas podría robar nuestras contraseñas?, o ¿quién podría suponer que una extensión que tiene como objetivo otorgar una mayor privacidad al usuario, estaría haciendo justamente todo lo contrario, robar nuestro historial de búsquedas para venderlo al mejor postor? Los riesgos no se quedan aquí. Por poner varios ejemplos, un complemento malicioso podría llegar a utilizar la capacidad de proceso de nuestro equipo para minar criptomonedas, conceder likes sin nuestro consentimiento en diversos servicios de redes sociales, publicar comentarios fraudulentos en redes sociales, robar información bancaria o mostrar publicidad intrusiva, etc.

Otro riesgo asociado a este software puede originarse cuando un desarrollador decide vender su complemento a otra empresa. Esta nueva empresa podría modificar el código de la aplicación para que, además de realizar las acciones para las que fue desarrollado originalmente, tenga otras menos legítimas, como alguna de las anteriormente mencionadas. El principal atractivo por el que los ciberdelincuentes optan por utilizar complementos como vía para para realizar acciones maliciosas es porque los usuarios consideran este tipo de software como inofensivo. Además, los antivirus no suelen identificar estas acciones como maliciosas en la mayoría de los casos. Los ciberdelincuentes podrían publicar una actualización de un complemento para que esta realice la actividad maliciosa como el robo de contraseñas, y volver a enviar otra actualización para modificar la actividad inicial por otra, como los likes en redes sociales o incluso a que su funcionalidad vuelva a ser la legítima.

Medidas de seguridad en el uso de extensiones

La mejor medida de seguridad que se puede llevar a cabo en relación a este posible problema, como en muchos otros, es la formación y la concienciación, ya que al final serán los propios usuarios quienes decidan qué extensión instalar. Además, siempre es recomendable seguir una serie de recomendaciones antes de instalar una aplicación de estas características:

• Instalar únicamente los complementos que sean necesarios para el desempeño de la actividad en la empresa.
• Utilizar únicamente las tiendas oficiales que disponen los navegadores, ya que antes de publicarse, estas han sido comprobadas para que no realicen actividades maliciosas. Mencionar que no se trata de una medida definitiva, ya que siempre se podría escapar algún complemento malicioso a los controles de calidad.
• Comprobar los comentarios de los usuarios y verificar que estos no advierten sobre actividades fraudulentas de la extensión.
• Comprobar el número de descargas evitando aquellas recién publicadas y de las que la comunidad no ha reportado nada ni positivo ni negativo.

Los navegadores como Chrome o Firefox en su versión para consumidores o usuarios domésticos, no permiten bloquear la instalación de extensiones. Una forma de conseguir este control es instalar las versiones para empresas. Estas versiones de los navegadores permiten a los administradores controlar, entre otras, la capacidad de los usuarios para instalar extensiones por medio de políticas específicas.

• Google Chrome Enterprise
• Mozilla Firefox para empresas

Las extensiones en los navegadores pueden llegar a ser una amenaza, ya que aunque ofrecen funcionalidades extra que muchos usuarios demandan, podrían incluir otro tipo de funciones menos legítimas y que están ocultas al usuario. Algunas de ellas, podrían llegar a comprometer información confidencial, lo que siempre es un riesgo para cualquier empresa.