Un estudio revela que miles de extensiones de navegador comprometen los datos de los usuarios

Las extensiones de navegador, los complementos de software que ayudan a los usuarios a personalizar y mejorar sus navegadores web, son muy populares. Algunas de las extensiones más utilizadas permiten encontrar ofertas de compras, corregir errores gramaticales y tipográficos, administrar contraseñas o traducir páginas web. Los tipos de extensiones disponibles son casi infinitos y muchas se han convertido en herramientas indispensables para empresas y usuarios cotidianos.

Si bien estas extensiones pueden hacer que la navegación web sea más accesible, productiva y gratificante, no están exentas de riesgos. Una nueva investigación de Georgia Tech revela que miles de extensiones de navegador plantean amenazas significativas a la privacidad y cientos extraen automáticamente contenido privado de los usuarios de las páginas web, lo que afecta a millones de usuarios de Internet.

Dirigido por Frank Li, profesor adjunto de la Escuela de Ciberseguridad y Privacidad y de la Escuela de Ingeniería Eléctrica e Informática, y el estudiante de doctorado Qinge Xie, un equipo de investigadores ha desarrollado un nuevo sistema que monitoriza si las extensiones del navegador recopilan contenido del usuario de las páginas web y de qué manera.

El equipo, que también incluye a Paul Pearce, profesor asistente en la Escuela de Ciberseguridad y Privacidad y la Escuela de Ciencias de la Computación, y Manoj Vignesh Kasi Murali, un ex alumno de maestría de Georgia Tech, presentó su trabajo de investigación al Simposio sobre seguridad de Usenixuna conferencia sobre ciberseguridad, en agosto.

«Sabemos por investigaciones anteriores que las extensiones de los navegadores recopilan la actividad y el historial de navegación de los usuarios, pero algunos de los datos más confidenciales de los usuarios se encuentran en las páginas web, como correos electrónicos, perfiles de redes sociales, registros médicos, información bancaria y más», dijo Li. «Queríamos saber si las extensiones también recopilan datos personales de estas páginas web».

El equipo diseñó un marco web, Arcanum, para probar si las extensiones extraen automáticamente datos de los usuarios de las páginas web. Utilizaron el sistema para estudiar todas las extensiones funcionales (más de 100.000) disponibles en Chrome Web Store. En concreto, utilizaron el sistema para controlar si las extensiones extraían datos de los usuarios de siete sitios web populares que se sabe que contienen información confidencial: Amazon, Facebook, Gmail, Instagram, LinkedIn, Outlook y PayPal.

Los investigadores observaron que la recopilación de datos potencialmente confidenciales y privados por parte de extensiones de navegadores es generalizada. Identificaron más de 3000 extensiones de navegadores que recopilan automáticamente datos específicos de los usuarios, lo que afecta a decenas de millones de usuarios. Más de 200 extensiones extraían directamente datos confidenciales de los usuarios de las páginas web y los subían a servidores.

Las extensiones de navegador a veces recopilan datos de los usuarios por motivos legítimos (por ejemplo, cuando los datos recopilados están relacionados con la funcionalidad o el propósito de la extensión). Por este motivo, puede resultar complicado identificar la intención detrás del comportamiento de recopilación de datos de la extensión.

Para investigar más a fondo, los investigadores tomaron una muestra de las extensiones señaladas y compararon el comportamiento de recopilación de datos de cada extensión con su política de privacidad y la descripción de la tienda web, que supuestamente explican cómo se utiliza la extensión y qué información recopilará. Esto permitió a los investigadores investigar si los usuarios esperarían razonablemente que las extensiones recopilaran automáticamente sus datos como parte de su función.

En este grupo de muestra, los investigadores encontraron que ninguno de ellos describió claramente la recopilación automatizada de datos de los usuarios en su política de privacidad o en la descripción de su tienda web.

«Desafortunadamente, las mismas capacidades de las que dependen las extensiones para enriquecer la experiencia de navegación web también pueden ser utilizadas de forma abusiva para dañar la privacidad del usuario, y posiblemente sin el conocimiento o consentimiento explícito de los usuarios», dijo Xie. «Incluso en los casos en que la recopilación de datos es benigna y necesaria para una funcionalidad legítima, presenta riesgos para la privacidad. Los datos confidenciales del usuario pueden ser transmitidos y almacenados por un tercero, que puede compartirlos posteriormente o posiblemente filtrarlos durante una violación de datos».

Según los investigadores, sus hallazgos sugieren que empresas como Google podrían desarrollar políticas de privacidad más estrictas para las extensiones o hacer cumplir de manera más amplia las políticas existentes. Las grandes empresas cuyos datos confidenciales de los usuarios se recopilan también podrían aumentar las medidas para proteger a sus clientes.

«No creo que los usuarios individuales deban tener que soportar la carga de preocuparse por su privacidad o por proteger sus datos, porque es posible que no tengan la capacidad o los conocimientos técnicos necesarios para entender lo que está sucediendo», afirmó Li. «El objetivo de este tipo de trabajo es plantear estas cuestiones a las organizaciones o partes interesadas que pueden influir en la recopilación de datos, con la esperanza de que puedan orientarlas para mejorar la privacidad de los usuarios».