Las extensiones de navegador, los complementos de software que ayudan a los usuarios a personalizar y mejorar sus navegadores web, son muy populares.Algunas de las extensiones más utilizadas encuentran ofertas de compras, corrigen errores gramaticales y tipográficos, administran contraseñas o traducen páginas web.Los tipos de extensiones disponibles son casi infinitos y muchas se han convertido en herramientas indispensables para empresas y usuarios cotidianos.

Si bien estas extensiones pueden hacer que la navegación web sea más accesible, productiva y gratificante, no están exentas de riesgos.Una nueva investigación de Georgia Tech revela que miles de extensiones de navegador representan amenazas importantes paraprivacidad, y cientos extraen automáticamente contenido privado de los usuarios desde las páginas web, lo que afecta a millones deusuarios de internet.

Dirigido por Frank Li, profesor asistente de la Escuela de Ciberseguridad y Privacidad y de la Escuela de Ingeniería Eléctrica e Informática, y Ph.D.El estudiante Qinge Xie, un equipo de investigadores ha desarrollado un nuevo sistema que monitorea si las extensiones del navegador recopilan contenido del usuario de las páginas web y cómo lo hacen.

El equipo, que también incluye a Paul Pearce, profesor asistente de la Escuela de Ciberseguridad y Privacidad y de la Escuela de Ciencias de la Computación, y Manoj Vignesh Kasi Murali, un M.S. de Georgia Tech.ex alumno, presentó sutrabajo de investigaciónalSimposio de seguridad de Usenix, una conferencia sobre ciberseguridad, en agosto.

"Sabemos por investigaciones anteriores que las extensiones del navegador recopilan la actividad y el historial del navegador de los usuarios, pero algunas de las extensiones más sensiblesdatos de usuariose encuentra dentro de páginas web, como correos electrónicos, perfiles de redes sociales, registros médicos, información bancaria y más", dijo Li. "Queríamos saber si las extensiones también recopilandatos personalesde estas páginas web."

El equipo diseñó un marco web, Arcanum, para probar si las extensiones extraen automáticamente datos de usuario de las páginas web.Utilizaron el sistema para estudiar cada extensión funcional (más de 100.000) disponible en Chrome Web Store.Específicamente, utilizaron el sistema para monitorear si las extensiones extraían datos de los usuarios de siete sitios web populares que se sabe que contienen información confidencial: Amazon, Facebook, Gmail, Instagram, LinkedIn, Outlook y PayPal.

Los investigadores observaron que la recopilación de datos potencialmente confidenciales y privados por parte de las extensiones del navegador es generalizada.Identificaron más de 3.000navegadorextensiones que recopilan automáticamente datos específicos del usuario y afectan a decenas de millones de usuarios.Más de 200 extensiones tomaron directamente datos confidenciales de los usuarios de las páginas web y los cargaron en los servidores.

Las extensiones del navegador a veces recopilan datos del usuario por motivos legítimos, por ejemplo, cuando los datos recopilados están relacionados con la funcionalidad o el propósito de la extensión.Por este motivo, puede resultar complicado identificar la intención detrás del comportamiento de recopilación de datos de la extensión.

Para investigar más a fondo, los investigadores tomaron un grupo de muestra de las extensiones marcadas y compararon el comportamiento de recopilación de datos de cada extensión con supolítica de privacidady descripción de la tienda web, que se supone que explican cómoextensiónse utiliza y qué información recopilará.Esto permitió a los investigadores investigar si los usuarios esperarían razonablemente que las extensiones recopilaran automáticamente sus datos como parte de su función.

En este grupo de muestra, los investigadores descubrieron que ninguno de ellos describía claramente la recopilación automatizada de datos de los usuarios en su política de privacidad o en la descripción de su tienda web.

"Desafortunadamente, las mismas capacidades de las que dependen las extensiones para enriquecer la experiencia de navegación web también pueden usarse para dañar la privacidad del usuario, y potencialmente sin el conocimiento o el consentimiento explícito de los usuarios", dijo Xie."Incluso en los casos en que la recopilación de datos es benigna y necesaria para una funcionalidad legítima, introduce riesgos para la privacidad. Los datos confidenciales del usuario pueden ser transmitidos y almacenados por un tercero, que puede compartir los datos o posiblemente filtrarlos durante una violación de datos".

Según los investigadores, sus hallazgos sugieren que empresas como Google podrían desarrollar políticas de privacidad más estrictas para las extensiones o hacer cumplir las políticas existentes de manera más amplia.Las grandes empresas cuyos datos confidenciales de los usuarios se recopilan también podrían aumentar las medidas para proteger a sus clientes.

"No creo que los usuarios individuales deban tener que soportar la carga de preocuparse por su privacidad o proteger sus datos, porque es posible que no tengan la capacidad o el conocimiento técnico para descubrir lo que está sucediendo", dijo Li."El objetivo de este tipo de trabajo es llevar estos problemas a las organizaciones o partes interesadas que pueden influir en la recopilación de datos, con la esperanza de que pueda guiarlos para mejorar la privacidad del usuario".