BG Beter Geregeld ICT
Security zonder IT-afdeling · 5 min leestijd · 11 junio 2026

Extensiones de navegador en tu pyme: el riesgo que nadie controla

Conversores de PDF, herramientas de captura, asistentes de IA: las extensiones de navegador se cuelan en tu organización sin que te des cuenta. Cómo saber en una hora qué tienes instalado y qué hay que eliminar.

Pregunta a cinco compañeros qué extensiones de navegador tienen instaladas. Lo más probable es que te respondan cosas como "eh… ¿la del PDF?" o "algo de IA, creo". No es un reproche — es exactamente cómo funcionan las extensiones. Se cuelan a través de un consejo útil de un colega, una sugerencia de ChatGPT o un botón en una web. Y luego se quedan ahí durante años, con acceso a todo lo que haces en el navegador.

Para una pyme sin departamento de IT propio, esto es un punto ciego que puedes tapar en gran medida con una hora tranquila. A continuación te explicamos cómo.

Por qué las extensiones son un riesgo real

Una extensión de navegador tiene, según los permisos que le hayas concedido, acceso a:

  • el contenido de cada página que visitas (incluida tu contabilidad, tu correo, tu sistema de clientes);
  • lo que escribes (incluidas contraseñas que no tengas guardadas en un gestor de contraseñas);
  • las cookies — y con ellas, tus sesiones abiertas;
  • en algunos casos, tus descargas, marcadores e historial.

Eso no es necesariamente un problema si el desarrollador es de confianza. El problema real: una extensión popular puede ser vendida a un nuevo propietario, que puede añadir publicidad, rastreo o directamente malware en una actualización. No es un escenario teórico; ha ocurrido decenas de veces en los últimos años. Hoy tienes una herramienta respetable instalada y mañana tienes una brecha de seguridad, sin haber hecho clic en nada.

Tres tipos de extensiones que encontrarás en tu pyme

1. Las herramientas de conveniencia

Combinadores de PDF, capturas de pantalla, selectores de color, gestores de pestañas. Suelen ser gratuitas y con permisos agresivos ("leer y modificar todos los datos en todos los sitios web"). Muchas personas las instalan una vez y nunca más las usan.

2. Los asistentes de IA

En el último año y medio, este es el grupo de mayor crecimiento. Resumidores, asistentes de escritura, "IA en todas partes". Algunos envían literalmente el contenido de cada página que abres a un servidor externo. Para un despacho de abogados o una asesoría contable, eso supone un problema serio de GDPR.

3. Las herramientas de trabajo legítimas

Gestores de contraseñas, tu herramienta de videoconferencia, tu plugin de CRM. Estas sí las quieres tener, pero también aquí aplica la norma: solo desde la tienda oficial, solo del proveedor auténtico (existen versiones falsas en circulación).

La ronda de limpieza: una hora de trabajo

Organiza una sesión breve con tu equipo — por ejemplo, en la próxima reunión de trabajo del viernes. El enfoque:

  1. Cada persona abre su listado de extensiones. En Chrome/Edge: chrome://extensions o edge://extensions. En Firefox: about:addons.
  2. Haz una lista por persona de lo que hay instalado, incluidos los permisos ("puede leer todos los datos…").
  3. Elimina todo lo que no reconozcas o no hayas usado en los últimos seis meses. Si tienes dudas, fuera. Siempre puedes volver a instalarlo.
  4. Revisa las extensiones que queden: ¿el editor es correcto?, ¿el número de usuarios es coherente?, ¿cuándo fue la última actualización? Una extensión que lleva dos años sin actualizarse es una señal de alerta.
  5. Deja constancia de lo que apruebas. Una lista sencilla con "estas extensiones están permitidas en los navegadores de trabajo" funciona mejor que un documento de política denso que nadie lee.

Evita que en tres meses vuelva a ser un caos

Una limpieza puntual ayuda, pero sin acuerdos claros el desorden volverá. Lo que funciona en la práctica para equipos pequeños:

  • El enfoque de dos navegadores. Uno para el trabajo, otro para uso personal o experimentar. Parece exagerado, pero funciona sorprendentemente bien. Edge para el trabajo, Firefox para lo demás, o al revés.
  • La regla de "consúltalo primero". Antes de instalar una nueva extensión, un mensaje rápido en el chat del equipo. No hace falta un proceso formal de aprobación — simplemente hacerlo visible.
  • Repetirlo dos veces al año. Preferiblemente al mismo tiempo que tu revisión de accesos. Mismo momento, mismo hábito: ¿qué tenemos en marcha?
  • Considera un navegador gestionado. ¿Trabajas con Microsoft 365? A través de Edge for Business puedes controlar de forma centralizada qué extensiones están permitidas y cuáles no. Eso reduce mucho la dependencia de la disciplina individual.

Especialmente importante si trabajas con datos de clientes

¿Manejas datos personales, información financiera o datos médicos? Trata las extensiones de navegador como si fueran encargados de tratamiento. Un resumidor de IA que envía el contenido de un historial de paciente o de una cuenta anual a un servidor externo es un tratamiento de datos que debes poder justificar. Para la mayoría de las extensiones gratuitas eso es imposible — así que, sencillamente, no las uses.

Lo mismo aplica a las extensiones que acceden a tu correo electrónico (piensa en "píxeles de seguimiento", "asistente de escritura en Gmail", "plantillas de correo"). En cuanto una herramienta así puede leer tu bandeja de entrada, también accede a los datos que tus clientes te envían en confianza.

¿Qué haces si encuentras algo sospechoso?

Si durante la limpieza encuentras una extensión que no puedes identificar, o que de repente inyecta publicidad, elimínala de inmediato, cierra sesión en los servicios importantes y vuelve a iniciarla (eso renueva tus sesiones). Cambia las contraseñas de los servicios que usas habitualmente en ese navegador y activa — si todavía no lo has hecho — la autenticación en dos pasos (2FA). Con eso, cualquier sesión que pudiera haberse filtrado queda inutilizable.

Para terminar

Las extensiones de navegador no son una catástrofe, pero sí son el punto más vulnerable de una pyme que por lo demás tiene las cosas bien organizadas. Una ronda de limpieza cada seis meses y unos pocos acuerdos sencillos bastan para mantenerlo bajo control. Sin software adicional, sin departamento de IT, sin presupuesto.

¿Quieres abordarlo junto con una revisión más amplia de quién tiene acceso a qué? Echa un vistazo a nuestra revisión de accesos — las extensiones forman parte de ella de forma estándar. Y si prefieres ponerte manos a la obra tú mismo: empieza hoy, abre chrome://extensions y mira qué tienes. Probablemente te lleves una pequeña sorpresa. Eso es exactamente la idea.

Onderwerpen

#mkb #security #shadow-it #Browsers #Praktisch

Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Security zonder IT-afdeling

Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Sin equipo de TI, pero con toda la responsabilidad. Este artículo te da una pila de prioridades: empieza por esto, luego esto otro, y después lo menos urgente. Cada apartado enlaza con una guía más detallada.

2 min
Security zonder IT-afdeling

Simulaciones de phishing en pymes: ¿útil o pérdida de tiempo?

Cada vez más pymes envían correos de phishing falsos a su propio equipo. ¿Realmente funciona, y cómo lo pones en marcha sin dañar el ambiente de trabajo?

6 min
Security zonder IT-afdeling

Elegir un gestor de contraseñas para tu pyme: ¿en qué fijarse de verdad?

Elegir un gestor de contraseñas no es cuestión de gustos, pero tampoco es ciencia de cohetes. Una guía práctica para empresarios sin departamento de IT.

6 min
Security zonder IT-afdeling

Monitorización de disponibilidad para pymes: no te enteres por tus clientes

Tu web está caída y te enteras por un cliente. Hay una forma mejor. Así configuras la monitorización de disponibilidad en tu pyme sin departamento de IT, sin acabar ahogado en falsas alarmas.

6 min
Security zonder IT-afdeling

Gestión de parches para pymes sin músculo MDM

Los parches hay que aplicarlos. Pero ¿cómo lo garantizas si no tienes Intune ni Jamf? Aquí tienes la configuración mínima y pragmática.

2 min
Security zonder IT-afdeling

MFA para todo tu SaaS, no solo M365: la operación de puesta al día

M365 y Google tienen MFA fácil. Dropbox, Slack, GitHub, Trello también. Pero esas otras herramientas SaaS sueltas… ahí suele faltar MFA. Aquí tienes el plan de puesta al día.

2 min
← Alle artikelen in "Security zonder IT-afdeling"