Extensiones y complementos

Qué es una extensión

Una extensión es un pequeño programa que el navegador ejecuta junto con las páginas. Está hecho con tecnologías web (JavaScript, HTML, CSS) y se comunica con el navegador a través de APIs específicas. Con esas APIs puede modificar lo que ves, observar lo que escribes, alterar peticiones a sitios, abrir y cerrar pestañas, entre otras cosas.

Para ti como usuario, una extensión aparece normalmente como un icono en la barra del navegador con un menú propio.

Permisos: qué te pide y por qué

Al instalar una extensión, el navegador te muestra qué permisos requiere. Los más comunes:

"Leer y cambiar todos tus datos en los sitios web que visitas". Es un permiso amplio: la extensión puede ver las páginas, los formularios, lo que escribes. Lo necesitan los bloqueadores de anuncios, los traductores, los gestores de contraseñas. Concédelo solo a extensiones de confianza alta.

"Acceso a tus pestañas y actividad de navegación". La extensión sabe qué páginas tienes abiertas. Lo piden gestores de pestañas, los lectores diferidos, etc.

"Modificar datos copiados y pegados". Acceso al portapapeles. Lo justifican algunas herramientas de productividad.

"Mostrar notificaciones": para avisos.

Si una extensión que dice ser "tema oscuro para Twitter" pide acceso a todos los sitios que visitas, hay desproporción. Mala señal. Cómo limitar permisos: ver más abajo.

Riesgos reales documentados

Extensiones vendidas a terceros. Una extensión legítima con muchos usuarios puede ser comprada por otra empresa. Tras la venta, una actualización silenciosa cambia el comportamiento (inserta anuncios, redirige enlaces, recopila datos). Ha pasado varias veces con extensiones que parecían inocuas (gestores de pestañas, herramientas de capturas).

Cuentas de desarrollador comprometidas. Si la cuenta del autor de una extensión es robada, los atacantes pueden subir una actualización maliciosa que se distribuye automáticamente a todos los usuarios. Han ocurrido casos públicos.

Extensiones que imitan a otras populares. Resultados de búsqueda con nombres similares ("uBlock" sin "Origin", "AdBlock Pro Plus" en lugar de uBlock Origin), que se aprovechan del prestigio para colocar versiones inferiores o maliciosas.

Recolección de datos legal pero opaca. Una extensión puede declarar en su política que vende "datos anónimos de navegación" a terceros. La existencia del aviso no convierte la práctica en transparente para el usuario medio.

Reglas razonables

Pocas. Cuantas más, más superficie de ataque. Si no la usas en un mes, desinstálala.

Conocidas. Quédate con extensiones reconocidas (uBlock Origin, Bitwarden, Dark Reader, traductores oficiales). Antes de instalar una desconocida, busca el nombre y opiniones en sitios técnicos, no solo la propia ficha de la tienda.

Lee los permisos. Si una extensión simple pide más de lo que necesita, sospecha.

Mantenlas actualizadas. Las extensiones se actualizan solas, normalmente; verifica que la opción está activa.

Revisa cada cierto tiempo. Abre la lista de extensiones (en Chrome/Edge: chrome://extensions o equivalente; en Firefox: about:addons) y desinstala lo que no usas.

Cuidado con las "all-in-one". Una extensión que hace mil cosas tiene mil permisos. Suele ser preferible una herramienta dedicada por función.

Limitar permisos por sitio

En la mayoría de navegadores se puede configurar cada extensión para que solo se active en sitios concretos. En Chrome/Edge: clic derecho sobre el icono de la extensión > "Este sitio puede leer y cambiar datos del sitio" > elegir "al hacer clic", "en sitios específicos" o "en todos los sitios".

Para extensiones que solo necesitas a veces, "al hacer clic" es lo más restrictivo: la extensión está dormida hasta que tú la activas en una pestaña. Reduce mucho la superficie de exposición.

Diferencias entre navegadores

Firefox usa WebExtensions con su propia tienda. Tiene revisiones humanas para extensiones recomendadas y un proceso para el resto. La API permite cierto tipo de filtrado de red que la versión actual de Chrome ya no permite (Manifest V3), lo cual mantiene en Firefox la versión completa de uBlock Origin.

Chrome y derivados usan la Chrome Web Store. La transición a Manifest V3 limita capacidades de algunos bloqueadores.

Safari tiene un sistema de extensiones que pasa por la App Store. Hay menos extensiones disponibles, pero la revisión es más estricta.

Edge tiene tienda propia y también acepta extensiones de la Chrome Web Store directamente.

Brave, Opera y Vivaldi usan extensiones de la Chrome Web Store; Brave y Vivaldi mantienen compatibilidad parcial con la versión anterior de la API que ayuda a algunos bloqueadores.

Móvil

En Android, Firefox soporta un conjunto reducido de extensiones (incluido uBlock Origin). Chrome móvil no tiene extensiones.

En iOS, los "content blockers" cumplen el papel de algunas extensiones (especialmente las de bloqueo de anuncios y rastreo) y se instalan desde la App Store. La situación general en iOS evoluciona con la apertura del DMA en la UE.