No pasan unas semanas sin que conozcamos que alguna extensión de Chrome, incluso muy conocida, contiene código malicioso. Algunas quieren minar criptomonedas con tu equipo, otras te quieren robar los datos, y así. ¿Cómo saber que una extensión no tiene intenciones funestas? Una buena opción es estudiar el código y la estructura de cualquier extensión para Chrome que deseemos instalar, y ahí es cuando interviene el sistema de descarga manual Chrome Extension Downloader.
Después de lo que sucedió con SafeBrowse y otras muchas extensiones, es evidente que los responsables de la tienda de Chrome necesitan hacer varios ajustes para proteger a los usuarios de extensiones maliciosas. En esa oportunidad fue un minero, pero más adelante puede ser algo aún peor. Lamentablemente, los comentarios de otros usuarios y la reputación del desarrollador han dejado de ser elementos adecuados para juzgar a una pieza de software. El llamado «sentido común» cae derrotado frente a estos ataques furtivos desplegados a través de software legítimo, y eso nos lleva a posiciones más extremas como «la paranoia funciona».
Analiza una extensión antes de instalarla
¿Qué podemos hacer cuando la amenaza viene dentro de una extensión supuestamente inocua? En el caso de Google Chrome, ver su código. El primer paso es visitar la tienda de Chrome y busca la extensión que nos interesa. Una vez que obtenemos la dirección URL exacta, nos dirigimos al portal Chrome Extension Downloader. En su interior colocamos el enlace de la extensión, y presionamos el botón «Download Extension». El sitio procederá a descargar el archivo en formato .crx, y para ver su contenido necesitamos cambiar la extensión a .zip.
El descompresor estándar de Windows no es compatible, pero al usar una variante como 7-Zip, su contenido queda automáticamente expuesto. El resto depende de cada usuario. Algunas extensiones son gigantescas (por ejemplo, LastPass ocupa 10 MB), y la exploración de su código tomará un largo tiempo. Una vez que estemos convencidos de su integridad podemos arrastrar el crx a Chrome, o descargarlo de la tienda como siempre.
