Danny Weber
18:47 06-02-2026
© RusPhotoBank
Descubre cómo una vulnerabilidad en Google Chrome permite a extensiones robar datos sensibles como tokens y claves API desde la barra de direcciones. Protege tu información ahora.
Se ha descubierto una grave vulnerabilidad en el navegador Google Chrome que permite a las extensiones recopilar directamente datos confidenciales de los usuarios desde la barra de direcciones. Esto pone en riesgo tokens de autorización, enlaces de restablecimiento de contraseñas, claves API y otros secretos, datos que los servicios suelen transmitir en la URL después del símbolo '?'.
El experto en ciberseguridad Luan Herrera llamó la atención sobre este problema. Explicó que el ataque no requiere privilegios elevados ni permisos sospechosos; basta con tener acceso a la API declarativeNetRequest estándar, el mismo mecanismo que utilizan la mayoría de los bloqueadores de anuncios y rastreadores.
La vulnerabilidad radica en el tiempo de procesamiento de las solicitudes. Chrome maneja las solicitudes bloqueadas mediante esta API de forma significativamente más rápida que las normales, con diferencias que pueden alcanzar decenas de milisegundos. Al explotar esta brecha temporal, una extensión maliciosa puede analizar el comportamiento del navegador y, paso a paso, reconstruir la URL completa de la página, incluyendo los parámetros ocultos que contienen datos sensibles.
En la práctica, un atacante puede 'adivinar' la dirección carácter por carácter recargando la página y midiendo el tiempo de respuesta. Como resultado, los usuarios corren el riesgo de perder el acceso a correos electrónicos, redes sociales, servicios financieros y otras cuentas críticas sin llegar a sospechar nada.
Una prueba de concepto del exploit ha demostrado ser exitosa en todas las versiones actuales de Chrome, desde la versión estable hasta las compilaciones Dev y Canary. Google ha reconocido el problema, pero ha afirmado que solucionarlo dentro de la arquitectura actual del navegador es prácticamente imposible.