Gran parte de la discusión sobre seguridad en IA se enfoca en proteger el consumo 'shadow' de IA y GenAI, pero hay una ventana abierta que nadie está vigilando: las extensiones de navegador con inteligencia artificial. Un nuevo informe de LayerX expone la profundidad de este punto ciego y señala que las extensiones de IA podrían ser la superficie de amenaza más peligrosa en la red, aunque no esté en el radar de nadie. Estas extensiones no activan los sistemas DLP ni aparecen en los registros de SaaS. Viven dentro del navegador, con acceso directo a todo lo que los empleados ven, escriben y en lo que permanecen conectados. Las extensiones de IA tienen un 60% más de probabilidades de presentar una vulnerabilidad que el promedio, son tres veces más propensas a acceder a cookies, 2,5 veces más a ejecutar scripts remotos en el navegador y seis veces más a haber aumentado sus permisos en el último año. Se instalan en segundos y pueden permanecer en el entorno indefinidamente.

La superficie de amenaza de las extensiones de navegador es universal, pero nadie la vigila

El primer error es pensar que las extensiones son un riesgo de nicho, limitado a un subconjunto de usuarios o casos marginales. Esa suposición es completamente errónea. Según el informe, el 99% de los usuarios empresariales utilizan al menos una extensión de navegador, y más de una cuarta parte tienen más de diez instaladas. No es un problema de cola larga; es universal. Sin embargo, la mayoría de las organizaciones no pueden responder preguntas básicas: ¿qué extensiones están en uso? ¿quién las instaló? ¿qué permisos tienen? ¿a qué datos pueden acceder? Los equipos de seguridad han pasado años construyendo visibilidad en redes, endpoints e identidades. Irónicamente, las extensiones de navegador siguen siendo un punto ciego importante.

Las extensiones de IA son el canal de consumo de IA del que nadie habla

Mientras gran parte de la conversación actual sobre seguridad en IA se centra en plataformas SaaS y API, este informe destaca un canal diferente y en gran medida ignorado: las extensiones de navegador con IA. Estas herramientas se están extendiendo rápidamente. Alrededor de uno de cada seis usuarios empresariales ya utiliza al menos una extensión de IA, y esa cifra no deja de crecer. Las organizaciones pueden bloquear o monitorizar el acceso directo a aplicaciones de IA, pero las extensiones operan de manera diferente. Se sitúan dentro del navegador, pueden acceder al contenido de las páginas, a las entradas del usuario y a los datos de sesión sin activar los controles tradicionales. En efecto, crean una capa no gobernada de uso de IA que elude la visibilidad y la aplicación de políticas.

Las extensiones de IA no solo son populares, sino también más riesgosas

Sería fácil suponer que las extensiones de IA conllevan un riesgo similar al de otras extensiones, pero los datos muestran lo contrario. Las extensiones de IA son significativamente más peligrosas. Tienen un 60% más de probabilidades de tener un CVE que el promedio, son tres veces más propensas a tener acceso a cookies, 2,5 veces más a tener permisos de scripting y dos veces más a poder manipular pestañas del navegador. Cada uno de estos permisos tiene implicaciones reales: el acceso a cookies puede exponer tokens de sesión; el scripting permite la extracción y manipulación de datos; el control de pestañas puede facilitar el phishing o la redirección silenciosa. Esta combinación de rápida adopción, acceso elevado y gobernanza débil convierte a las extensiones de IA en un vector de amenaza emergente urgente.

Las extensiones no son estáticas; cambian con el tiempo

Los equipos de seguridad suelen tratar las extensiones como elementos estáticos, algo que se aprueba una vez y se olvida. Pero no funciona así. Las extensiones evolucionan: reciben actualizaciones, cambian de propietario, amplían permisos. El informe muestra que las extensiones de IA tienen casi seis veces más probabilidades de cambiar sus permisos con el tiempo, y que más del 60% de los usuarios tienen al menos una extensión de IA que ha modificado sus permisos en el último año. Esto crea un objetivo móvil que las listas de permitidos tradicionales no pueden seguir. Una extensión que era segura ayer puede no serlo hoy.

La brecha de confianza en las extensiones de navegador es mayor de lo esperado

Los equipos de seguridad se basan en diversas señales de confianza para evaluar las extensiones, como la transparencia del editor, el número de instalaciones, la frecuencia de actualización y la presencia de una política de privacidad. Aunque estos indicadores no denotan directamente un comportamiento malicioso, son clave para evaluar el riesgo general. Una parte significativa de las extensiones tiene bases de usuarios muy pequeñas: más del 10% tiene menos de 1.000 usuarios, una cuarta parte menos de 5.000 y un tercio menos de 10.000 instalaciones. Esto es especialmente problemático en las extensiones de IA, donde el 33% tiene menos de 5.000 usuarios y casi el 50% menos de 10.000. Una base de usuarios amplia es esencial para generar confianza continua, pero una vez más, las extensiones de IA muestran un riesgo sustancialmente mayor. Además, alrededor del 40% de las extensiones no han recibido una actualización en más de un año, lo que sugiere que ya no se mantienen activamente. Las extensiones que no se actualizan regularmente pueden contener vulnerabilidades sin resolver o código obsoleto que los atacantes exploten. Como resultado, la mayoría de las extensiones utilizadas en entornos empresariales muestran señales débiles o ausentes en estas áreas, lo que plantea serias dudas sobre el manejo de datos y el cumplimiento normativo, y pone de relieve lo poco que se examinan las extensiones en comparación con otros componentes de software.

De la información a la acción: el camino a seguir para los CISO

El informe esboza una dirección clara para los equipos de seguridad:

  • Auditar continuamente la superficie de amenaza de las extensiones de la organización: con el 99% de los usuarios empresariales ejecutando al menos una extensión, un inventario completo es un primer paso obligatorio hacia la reducción de riesgos. Los CISO deberían realizar una auditoría de extensiones en toda la organización que cubra todos los navegadores, endpoints gestionados y no gestionados, y todos los usuarios.
  • Aplicar controles de seguridad específicos a las extensiones de IA: las extensiones de IA representan un riesgo desproporcionado debido a sus permisos elevados que pueden exponer sesiones SaaS, identidades y datos sensibles dentro del navegador. Las organizaciones deben aplicar políticas de gobernanza más estrictas para controlar cómo estas extensiones interactúan con los entornos empresariales.
  • Analizar el comportamiento de las extensiones, no solo parámetros estáticos: las aprobaciones estáticas no son suficientes. El riesgo debe evaluarse continuamente en función de los permisos, el comportamiento y los cambios a lo largo del tiempo.
  • Exigir requisitos de confianza y transparencia: las extensiones con recuentos de instalación muy bajos, que carecen de políticas de privacidad o muestran un historial de mantenimiento deficiente deben tratarse como de mayor riesgo. Establecer criterios mínimos de confianza ayuda a reducir la exposición a extensiones no verificadas o abandonadas.

Una nueva perspectiva sobre un viejo problema

Durante años, las extensiones de navegador se han tratado como una característica de conveniencia, algo para mejorar la productividad y la personalización. Sin embargo, ya no son un riesgo periférico. Son una parte central de la superficie de ataque empresarial: ampliamente utilizadas, con altos privilegios y en gran medida sin supervisión, crean una exposición directa a datos sensibles y sesiones de usuario. Descargue el informe completo de seguridad de extensiones de LayerX para comprender el alcance total de estos hallazgos, identificar dónde se encuentra realmente su exposición y obtener una ruta clara para controlar esta creciente superficie de ataque sin interrumpir la productividad.