Tabla de contenidos
Muchas extensiones de Chrome Web Store quieren «leer y cambiar todos sus datos en los sitios web que visita». Eso suena un poco peligroso, y puede serlo, pero muchas extensiones solo necesitan ese permiso para hacer su trabajo.
Chrome tiene un sistema de permisos, pero Firefox e Internet Explorer no
Esto puede parecer alarmante, especialmente viniendo de algo como Firefox. Pero solo ve esta advertencia porque Chrome tiene un sistema de permisos para sus extensiones, mientras que Firefox e Internet Explorer no lo tienen. Cada extensión de Firefox e Internet Explorer tiene acceso completo a todo el navegador y puede hacer lo que quiera.
Por ejemplo, cuando instalas el complemento Tampermonkey en Firefox, no verás ninguna advertencia de permiso. Pero ese complemento obtiene acceso a todo su navegador Firefox.
Sin embargo, a diferencia de las extensiones para estos otros navegadores, las extensiones de Chrome deben declarar los permisos que necesitan. Cuando instale una extensión, verá una lista de los permisos que requiere y podrá tomar una decisión informada sobre si instalar la extensión. Es un poco como el sistema de permisos integrado en Android .
Para usar el mismo ejemplo, cuando instale la extensión Tampermonkey para Chrome, verá información sobre los permisos que requiere la extensión.
Las extensiones muy simples en realidad no requieren ningún permiso. Por ejemplo, la extensión oficial de Google Hangouts solo proporciona un icono de barra de herramientas en el que puede hacer clic para abrir una ventana de chat de Google Hangouts. Instálelo y no se le advertirá sobre ningún permiso especial que requiera.
Por qué las extensiones necesitan permiso para «leer y cambiar todos sus datos»
Sin embargo, intente instalar la mayoría de las extensiones y se le advertirá sobre los permisos que requieren. El que parece más aterrador es probablemente «Leer y cambiar todos sus datos en los sitios web que visita». Esto significa que la extensión puede ver cada página web que visita, modificar esas páginas web e incluso enviar información sobre eso a través de la web.
Por ejemplo, Google ofrece una extensión Guardar en Google Drive que le permite hacer clic derecho en cualquier página web o enlace y guardar esa página en su Google Drive. La extensión requiere la capacidad de «Leer y cambiar todos sus datos en los sitios web que visita». Pero necesita este permiso porque, cuando intenta guardar contenido, la extensión debe poder acceder a la página web actual y ver sus datos.
Las extensiones que necesitan interactuar con páginas web casi siempre requerirán el permiso «Leer y cambiar todos sus datos en los sitios web que visita». Es por eso que la extensión Google Hangouts no solicita este permiso: no tiene funciones que interactúen con una página web abierta en su navegador.
Haga clic y se dará cuenta rápidamente de que la mayoría de las extensiones del navegador ofrecen funciones que interactúan con la página web actual, desde administradores de contraseñas que necesitan completar contraseñas hasta extensiones de diccionario que necesitan definir palabras. Por eso este permiso es tan común.
Es posible que las extensiones que solo funcionan en un sitio web solo requieran la capacidad de «Leer y cambiar sus datos» en un sitio web específico. Por ejemplo, la extensión oficial de Google Mail Checker requiere permiso para «Leer y cambiar sus datos en todos los sitios de google.com».
Claro, este nivel de acceso permitiría que una extensión capture sus contraseñas y números de tarjetas de crédito o inserte anuncios adicionales en páginas web. Pero Google no sabe si una extensión usará sus permisos para bien o para mal. Muchas extensiones populares y legítimas requieren este permiso, ya que no hay otra forma en que puedan interactuar con páginas web abiertas.
Pero, si la advertencia de permiso te hace pensar dos veces antes de instalar una extensión de la que no estás seguro, eso es bueno. Por eso está ahí: es un recordatorio de cuánto acceso está proporcionando a sus datos personales cada vez que instala una extensión de navegador.
Algunas extensiones tienen permisos aún más amplios
Las extensiones también pueden solicitar algunos otros permisos. Por ejemplo, la extensión AVG Web TuneUp instalada como parte del antivirus AVG requiere permiso para leer y cambiar todos sus datos en los sitios web que visita, leer y cambiar su historial de navegación, cambiar su página de inicio, cambiar su configuración de búsqueda, cambiar su página de inicio, administre sus descargas, administre sus aplicaciones, extensiones y temas, y comuníquese con aplicaciones nativas que cooperan en su computadora.
No recomendamos usar las extensiones del navegador de su antivirus , y el sistema de permisos de Chrome hace un buen trabajo al mostrar por qué en este caso. Esta extensión es muy invasiva y requiere acceso a casi todas las partes de su navegador. La ventana de permisos ayuda a advertirle de los permisos que otorgará, para que pueda tomar una decisión informada.
Sin embargo, incluso la extensión de navegador más aterradora no tiene tanto acceso a su computadora como lo tendría un programa de escritorio. Las aplicaciones normales de Windows tienen acceso a sus pulsaciones de teclas y archivos, incluidos sus navegadores web. Es por eso que no debe ejecutar una aplicación de escritorio en la que no confíe, al igual que no debe instalar una extensión de navegador en la que no confíe.
¿En qué extensiones de navegador debería confiar?
If you’re giving an extension access to all the websites you visit, that extension could potentially capture your online banking passwords and credit card numbers or insert ads in the pages you view. It’s just as dangerous for your web browsing data as installing a desktop program, so you should treat the decision just as carefully.
In theory, browser extensions available in the Chrome Web Store, Mozilla Add-ons website, and Windows Store are monitored by Google, Mozilla, and Microsoft, respectively. The company in charge of the store can remove an add-on from the store if it’s doing something bad.
In reality, though, browser makers don’t test every extension—or every update to a legitimate extension—to confirm it’s safe. A browser maker will often only get around to removing an extension after it’s caused problems for many people who have it installed.
If the extension requires quite a few permissions, you’ll have to evaluate it like you would a desktop program. If the extension is created by a company you trust—like the many extensions created by companies like Google, Microsoft, Twitter, Facebook—you know it’s likely safe. If the extension was created by someone you don’t know, be more careful. If the extension is established and has a large number of users, good feedback in the store, and positive reviews on other websites, that’s a good sign. If it has mixed feedback or much fewer users, that’s a bad sign.
If you’re ever in doubt, don’t install that extension. It’s best to use as few extensions as possible to keep your browser fast, anyway.
More browsers are adding permission systems, however. Microsoft Edge uses Chrome-style extensions and will warn you about the permissions the extensions require. Firefox will also move to Chrome-style extensions in the future.