← Volver al blog
·7 min de lectura

Cómo las extensiones del navegador pueden robar tus contraseñas — y cómo SandPass lo previene

Las extensiones del navegador son poderosas — pueden leer y modificar cada página que visitas, interceptar solicitudes de red y acceder a datos sensibles. Esto hace que las extensiones de gestores de contraseñas sean increíblemente útiles y potencialmente peligrosas.

La superficie de ataque

  • Contenido de páginas: Cada elemento DOM, cada campo de formulario, cada texto en cualquier sitio
  • Solicitudes de red: Las extensiones pueden interceptar, modificar o bloquear solicitudes HTTP
  • Almacenamiento: Almacenamiento local, cookies y datos IndexedDB
  • Portapapeles: Lectura y escritura en el portapapeles del sistema

Cómo la mayoría de los gestores inyectan credenciales

La mayoría inyectan un menú de autocompletado directamente en el DOM de la página. Esto crea vulnerabilidades:

  • Espionaje DOM: El JavaScript del sitio puede observar mutaciones del DOM y leer valores inyectados
  • Ataques CSS: CSS inteligente puede crear elementos invisibles que capturan datos autocompletados
  • Listeners de eventos: La página puede escuchar eventos de entrada para capturar valores

El Shadow DOM cerrado de SandPass

SandPass renderiza su menú de autocompletado dentro de un Shadow DOM cerrado. Este es un mecanismo de aislamiento nativo del navegador que previene:

  • Que la página acceda a la estructura interna del Shadow DOM
  • Que el CSS de la página afecte la apariencia del menú
  • Que el JavaScript de la página lea valores de credenciales

Ningún otro gestor importante usa actualmente Shadow DOM cerrado para autocompletado.

Content Security Policy

script-src 'self' 'wasm-unsafe-eval'; object-src 'none'
  • Ningún script inline puede ejecutarse (previene XSS)
  • Ningún script externo puede cargarse (previene ataques de cadena de suministro)
  • WASM permitido solo para Argon2id y OPAQUE

Verificación de dominio (protección anti-phishing)

Antes del autocompletado, SandPass verifica que el dominio del sitio coincida con el dominio almacenado usando coincidencia eTLD+1:

  • login.google.com coincide con credenciales de google.com
  • google.evil-site.com NO coincide
  • g00gle.com (typosquatting) NO coincide

Claves criptográficas no extraíbles

SandPass usa la API Web Crypto con extractable: false:

  • Las claves existen solo dentro del almacén seguro del navegador
  • No pueden exportarse, ni siquiera por el JavaScript de la extensión
  • Están vinculadas al perfil del navegador y no pueden clonarse

Lo que puedes hacer

  1. Audita tus extensiones. Ve a chrome://extensions y revisa los permisos
  2. Elimina extensiones que no uses. Cada extensión es una superficie de ataque
  3. Usa un gestor que tome el aislamiento en serio. Busca Shadow DOM, CSP estricta y permisos mínimos