Mientras el debate sobre seguridad en IA se centra en modelos de lenguaje o deepfakes, un vector de ataque crece en silencio: las extensiones de navegador. Estas herramientas, que prometen productividad o entretenimiento con capacidades de inteligencia artificial, operan con permisos extensivos. Su popularidad las convierte en un canal de consumo emergente y desatendido, con un riesgo de seguridad significativo para usuarios y empresas.
Permisos, tokens y el acceso a todo tu tráfico 🕵️
El problema técnico radica en la arquitectura de permisos. Una extensión puede solicitar acceso a datos de todas las páginas web, incluyendo inputs de formularios, cookies y el DOM completo. Si la extensión integra un modelo de IA externo, esa información sensible puede ser enviada a servidores de terceros. Un token de API mal configurado o una lógica de prompt injection en el cliente pueden filtrar datos críticos sin que el usuario perciba anomalía alguna en la interfaz.
Tu nuevo asistente virtual favorito es un chivato 🤖
Es gracioso pensar que instalamos voluntariamente un software que lee cada letra que escribimos, con la esperanza de que resuma artículos o mejore nuestra gramática. Le damos las llaves de casa a un asistente cuyo código desconocemos, confiando en que no tomará fotos de nuestros documentos ni escuchará conversaciones privadas. La próxima vez que una extensión te pida permiso para leer y cambiar todos tus datos en los sitios web, recuerda que no estás contratando un mayordomo, estás potencialmente alojando un espía muy eficiente.