Cuando instalamos una extensión en Google Chrome, normalmente entre los permisos que piden se encuentran «leer y modificar todos los datos de los sitios web que visites«. Aunque en extensiones de confianza este tipo de permisos no deben hacernos saltar las alarmas, en extensiones menos utilizadas sí que debemos estar al tanto, o podemos ser uno de los 4 millones de usuarios que han visto robado su historial de navegación por este «descuido» a través de un caso llamado DataSpii.

8 extensiones han vendido los datos de tu historial

Cuando visitamos una web e introducimos nuestras credenciales, confiamos que esas webs son seguras y privadas. Sin embargo, a través de DataSpii, un creador de extensiones para Chrome (y algunas de Firefox) ha conseguido recopilar el historial de navegación de 4,1 millones de usuarios. En concreto, recopilaba las URL visitadas, el título de esas páginas, y los hipervínculos que en ellas aparecieran. Una vez obtenidos los datos, los publicaban en una plataforma de pago llamada Nacho Analytics.

Aunque para acceder a muchas páginas sea necesario usuario y contraseña, en otros hay páginas privadas y con enlaces únicos que muestran los tokens en la URL. Esa URL sólo la conoce el usuario, pero si la extensión la obtiene, puede acceder posteriormente desde otro PC sin la cuenta del usuario para obtener datos o archivos privados. Este tipo de prácticas lleva años siendo desaconsejada, pero por desgracia sigue utilizándose.

Con ello, el investigador que ha descubierto el caso, ha visto cómo en 7 meses se han recopilado los siguientes datos:

• Archivos adjuntos de Facebook Messenger y fotos de Facebook que estaban puestas como privadas
• Vídeos de cámaras de seguridad alojados en Nest y otros servicios.
• Declaraciones de la renta, facturas, documentos empresariales, presentaciones, y todo tipo de archivos almacenados en OneDrive y otros servicios
• Matrículas de coche asociadas a nombres y direcciones
• Nombres de pacientes y médicos visitados
• Itinerarios de viajes

Estos enlaces podían ser accedidos sin tener ni siquiera cuenta en el servicio. Había otros que eran mucho más sensibles, pero requerían usuario y contraseña para acceder. A pesar de ello, había muchas que seguían filtrando información sensible, como números de identificación de coches y averías de Tesla, URL internas de empresas médicasm de empresas de ciberseguridad, etc.

El descubridor, Sam Jadali, fundador del servicio de alojamiento web Host Duplex, descubrió algunas URL de mensajes privados en Nacho Analytics, y pensando que había extensiones que estaban filtrando los datos, fue probando hasta 200 extensiones, pero no dio con ninguna. Después de analizar la hora en la que fueron obtenidas las URL, Jadali preguntó a los tres usuarios cuyas URL habían sido filtradas qué extensiones tenían instaladas, y ahí fue cuando descubrió que la extensión era Hover Zoom.

Estas son las 8 extensiones que han robado URL, datos y archivos de Chrome y Firefox

Para comprobar cómo recopilaba los datos, instaló Windows desde cero en un PC con Chrome y la extensión, y analizó los datos. Tras tres semanas sin hacer nada, la extensión recopiló todas las URL visitadas, y a las dos horas aparecieron en Nacho Analytics, donde otros usuarios descargaron el contenido de las webs que había visitado. Así, fue probando más extensiones del desarrollador y otras, además de hacerlo con Firefox y en instalaciones de macOS y Ubuntu. Las extensiones fueron:

• Fairshare Unlock: para ver contenido Premium gratis (también disponible para Firefox)
• SpeakIt!: una extensión que lee texto
• Hover Zoom: una extensión para agrandar imágenes
• PanelMeasurement: una extensión para ver encuestas de investigación de mercado
• Super Zoom: otra extensión para imágenes (disponible también para Firefox)
• SaveFrom.net Helper: una extensión de Firefox que prometía hacer más fácil la descargar en Internet
• Branded Surveys: prometía recibir dinero y otros premios al hacer encuestas
• Panel Community Surveys: otra app que ofrecía recompensas por responder encuestas

Google y Mozilla eliminaron las extensiones en cuanto supieron de sus actividades. Algunas de las empresas afectadas han confirmado que tenían instaladas las extensiones en ordenadores de su red interna, como Symantec. Por ello, recomendamos que, si vais a instalar una extensión dudosa, lo hagáis en una instalación de Chrome que no vayáis a usar. Por ejemplo, podéis instalar Chrome Beta y hacer ahí vuestras pruebas, visitando sólo las webs sensibles desde la versión estable.

Podéis leer un resumen del informe y el informe completo en la web de Jadali.