Palo Alto, California, 29 de julio de 2025/CyberNewsWire/--A pesar del uso creciente de las extensiones de navegador, la mayoría de las empresas y los individuos siguen confiando en etiquetas como “Verified” y “Chrome Featured” proporcionados por las tiendas de extensiones como un indicador de seguridad.El reciente caso de Geco Colorpick ilustra cómo estas certificaciones proporcionan nada más que un falso sentido de seguridad - Koi Research[1] reveló 18 extensiones maliciosas que distribuyeron spyware a 2.3M usuarios, con la mayoría cargando el estado de “Verified” bien confiable. Los investigadores revelaron la razón tecnológica detrás de esta vulnerabilidad, destacando un fallo arquitectónico en Browser DevTools que impide que los proveedores de navegadores y empresas realicen el análisis de seguridad minucioso que muchas empresas esperan. Cuarto Cuarto “Aparte del hecho de que miles de actualizaciones y envíos de extensiones se están haciendo diariamente, es simplemente imposible para los proveedores de navegadores monitorear y evaluar la postura de seguridad de una extensión en el momento de ejecución”, dice Nishant Sharma, Jefe de Investigación de Seguridad en SquareX, “Esto se debe a que las DevTools existentes fueron diseñadas para inspeccionar páginas web. “Aparte del hecho de que miles de actualizaciones y envíos de extensiones se están haciendo diariamente, es simplemente imposible para los proveedores de navegadores monitorear y evaluar la postura de seguridad de una extensión en el momento de ejecución”, dice Nishant Sharma, Jefe de Investigación de Seguridad en SquareX, “Esto se debe a que las DevTools existentes fueron diseñadas para inspeccionar páginas web. En otras palabras, incluso si los proveedores de navegadores no estaban inundados por la enorme cantidad de solicitudes de envío de extensiones, las limitaciones arquitectónicas de Browser DevTools hoy en día todavía permitirían que numerosas extensiones maliciosas pasasen las inspecciones de seguridad basadas en DevTool. Browser DevTools se introdujeron a finales de los años 2000, mucho antes de la adopción generalizada de la extensión. Estas herramientas fueron inventadas para ayudar a los usuarios y desarrolladores web a debugar sitios web e inspeccionar elementos de páginas web. Sin embargo, las extensiones de navegador tienen capacidades únicas para, entre otras cosas, modificar, tomar capturas de pantalla e inyectar scripts en múltiples páginas web, que no pueden ser fácilmente monitorizados y atribuidos por Browser DevTools. Por ejemplo, una extensión puede hacer una solicitud de red a través de una página web mediante la inyección de un script en la página. Con Browser DevTools, no hay manera de diferenciar las solicitudes de red realizadas por la propia página web y por aquellas una extensión. Detallado en la , Los investigadores de SquareX proponen un nuevo enfoque que utiliza la combinación de un navegador modificado y Agentes de inteligencia artificial del navegador para conectar esta brecha. El navegador modificado expone la telemetría crítica necesaria para comprender el verdadero comportamiento de una extensión, mientras que el Agente de inteligencia artificial del navegador simula diferentes personas de usuarios para incitar diversos comportamientos de extensión en el tiempo de ejecución para el monitoreo y análisis de seguridad. Esto no solo permite un análisis dinámico de la extensión, sino también descubrimientos de diversos comportamientos de extensión "ocultos" que sólo se desencadenan por el tiempo, una determinada acción del usuario o entornos de dispositivo. Blog Técnico Blog Técnico La revelación de las limitaciones arquitectónicas de Browser DevTools expone una brecha de seguridad fundamental que ha llevado a millones de usuarios a ser comprometidos.A medida que las extensiones de navegador se convierten en una parte fundamental del flujo de trabajo de la empresa, es crucial para las empresas pasar de etiquetas superficiales a soluciones diseñadas específicamente para abordar la seguridad de las extensiones.Es absolutamente crucial que los proveedores de navegadores, empresas y proveedores de seguridad trabajen estrechamente juntos para abordar lo que se ha convertido en uno de los vectores de amenazas emergentes más rápidamente. Este mes de agosto, Se ofrece La auditoría implica la realización de una auditoría exhaustiva de todas las extensiones instaladas en toda la organización utilizando todos los tres componentes del Marco de Análisis de Extensiones SquareX - análisis de metadatos, análisis de código estático y análisis dinámico con Extension Monitoring Sandbox - proporcionando un análisis completo de la exposición al riesgo de la organización y una puntuación de riesgo para cada extensión. SquareX Auditoría gratuita en toda la empresa Cuarto Auditoría gratuita en toda la empresa About SquareX Cuarto Cuarto La extensión de navegador transforma cualquier navegador en cualquier dispositivo en un navegador seguro de clase empresarial. la solución de detección y respuesta del navegador (BDR) de SquareX, primera en la industria, habilita a las organizaciones para detectar, mitigar y cazar amenazas contra ataques web del lado del cliente, incluyendo extensiones de navegador maliciosas, spearphishing avanzado, ransomware nativo del navegador, prevención de pérdida de datos GenAI y más. de SquareX de SquareX A diferencia de los enfoques legados de seguridad y los navegadores empresariales, SquareX se integra sin problemas con los navegadores de consumo existentes de los usuarios, garantizando una seguridad mejorada sin comprometer la experiencia o la productividad del usuario.Al ofrecer visibilidad y control sin precedentes directamente dentro del navegador, SquareX permite a los líderes de seguridad reducir su superficie de ataque, obtener inteligencia actuable y fortalecer su postura de ciberseguridad empresarial contra el nuevo vector de amenaza: el navegador. Más información disponible en: SXRX.com SXRX.com Referencia [1] http://www.bleepingcomputer.com/news/security/malicious-chrome-extensions-with-17m-installs-found-on-web-store/ http://www.bleepingcomputer.com/news/security/malicious-chrome-extensions-with-17m-installs-found-on-web-store/ http://www.bleepingcomputer.com/news/security/malicious-chrome-extensions-with-17m-installs-found-on-web-store/ Contacto Jefe de PR JUNICE LIEW Cuarto Encuentros@sqrx.com Esta historia fue publicada como un comunicado de prensa por Cybernewswire bajo HackerNoon's Business Blogging Program. Esta historia fue publicada como un comunicado de prensa por Cybernewswire bajo HackerNoon's Business Blogging Program. El programa
