Descubren decenas de extensiones en la Chrome Web Store que venden legalmente tus datos
Todo termina en manos ajenas: desde búsquedas en internet hasta los planes de la noche.
Las extensiones de navegador se han convertido desde hace tiempo de una función adicional en una herramienta cotidiana para la mayoría de los usuarios: bloquean publicidad, guardan contraseñas, revisan la ortografía o ayudan a descargar vídeos. Pero parte de esos instrumentos no gana dinero solo con las funciones visibles para el usuario. Según LayerX Security, decenas de extensiones establecen expresamente en sus políticas el derecho a recopilar y vender datos. El problema es que los usuarios, a menudo, ni siquiera lo sospechan.
Los especialistas de LayerX Security Dar Callon y Guy Erez analizaron las políticas de privacidad de miles de extensiones de tiendas oficiales. De aproximadamente 9000 enlaces a esos documentos el equipo pudo procesar 6666 políticas y verificó manualmente las coincidencias encontradas. La muestra final incluyó 82 extensiones en 94 fichas de tiendas. Actualmente 75 de ellas siguen disponibles en Chrome Web Store, otras 7 han sido eliminadas, pero pueden seguir instaladas en navegadores de usuarios.
Según la estimación de LayerX, esas extensiones afectan al menos a 6,5 millones de personas. Entre los hallazgos apareció una red de 24 herramientas para servicios de streaming vinculadas a la marca QVI, o Quality Viewership Initiative. Las extensiones funcionan con Netflix, Hulu, Disney+, Amazon Prime Video, HBO Max, Apple TV+, Crunchyroll y otras plataformas. Su editor figura como HideApp LLC, asociado a la marca dogooodapp. Las extensiones activas de este grupo están instaladas en casi 800.000 usuarios.
La política de privacidad de QVI describe la recopilación del historial de visionado, las preferencias, datos sobre suscripciones, el contenido descargado y el comportamiento durante la reproducción. También se pueden obtener datos de edad y género y, ante la falta de información, cruzar el correo electrónico con bases demográficas externas. LayerX considera ese esquema como un sistema de medición de audiencia integrado directamente en el navegador.
Llamaron atención por separado los bloqueadores de publicidad. El equipo confirmó ocho extensiones de ese tipo con una audiencia conjunta de más de 5,5 millones de usuarios, que se reservan el derecho a vender o transferir datos a terceros. Entre ellas figuran Stands AdBlocker, Poper Blocker, All Block, TwiBlocker y Urban AdBlocker. LayerX subraya que la gente suele instalar estas herramientas precisamente para protegerse del seguimiento, pero algunos productos convierten la actividad del navegador en una mercancía.
El informe también menciona extensiones de menor escala: Career.io Job Auto Apply puede transferir datos de currículos para publicidad y creación de perfiles, Dog Cuties está vinculada a la red Apex Media, EmailOnDeck permite la venta o el alquiler de listas de correo, y Survey Junkie revela la transferencia de URL visitadas y datos de clics.
LayerX destaca por separado el riesgo corporativo. Entre los vendedores de datos confirmados se encontraron 29 herramientas B2B para ventas y análisis. Esas extensiones pueden funcionar en ordenadores de trabajo y transmitir a bases comerciales información sobre URL internas, paneles SaaS y la actividad de investigación de empleados.
Los autores del informe consideran que la comprobación de permisos ya no cubre todo el riesgo. Una extensión puede no parecer maliciosa, pero vender abiertamente datos según los términos con los que el usuario aceptó al instalarla.
LayerX aconseja a las empresas tener en cuenta las políticas de privacidad al controlar las extensiones y bloquear las herramientas que no publican esos documentos o que permiten explícitamente la venta de datos personales.