WebCull
En
Fr
Es
De

El Problema de la Seguridad en los Marcadores del Navegador

Publicado el 11 de marzo de 2025 por Andrew Dear
Segmento: Seguridad

Los navegadores web modernos almacenan tus marcadores (favoritos) en archivos o bases de datos dentro del directorio de perfil de usuario de tu navegador en tu computadora, incluso si tienes la sincronización activada. A diferencia de las contraseñas, estos archivos de marcadores no están cifrados: se almacenan en texto sin formato o en formatos de base de datos simples para un acceso rápido. Por ejemplo, Mozilla Firefox guarda todos los marcadores en una base de datos SQLite. Google Chrome, Microsoft Edge (basado en Chromium) y otros navegadores Chromium utilizan un archivo con formato JSON (comúnmente llamado "Bookmarks") para guardar los datos de los marcadores. Safari de Apple guarda los marcadores de manera similar en un archivo de lista de propiedades (Bookmarks.plist) en la carpeta Biblioteca del usuario. Además, dado que estos marcadores se almacenan en texto sin formato, también son vulnerables a ser manipulados. En todos los casos, los datos de los marcadores (títulos, URL, etiquetas y notas) son legibles y no están protegidos por cifrado ni contraseña.

Almacenar los marcadores en formato sin cifrar es principalmente una elección de diseño por conveniencia, especialmente al cambiar entre navegadores. Sin embargo, esta conveniencia tiene un costo: cualquier programa o malware que se ejecute en tu cuenta del sistema operativo puede acceder potencialmente a estos archivos y leer tus marcadores sin necesidad de permisos especiales ni claves de descifrado. En contraste, los navegadores suelen cifrar elementos sensibles como las contraseñas guardadas o las cookies con una clave proporcionada por el sistema operativo, pero los marcadores no reciben el mismo tratamiento.

Riesgos de Seguridad por la Exposición de los Marcadores

Debido a que los marcadores se almacenan sin cifrar, son vulnerables al acceso no autorizado por parte de spyware, malware o incluso aplicaciones legítimas que analizan los datos de tu navegador. Un malware que infecte tu sistema puede simplemente leer el archivo o la base de datos de los marcadores y robar su contenido. De hecho, los kits de herramientas de malware y hackers apuntan explícitamente a los marcadores del navegador como parte de los datos que recopilan de las víctimas. La base de datos MITRE ATT&CK señala que “los datos guardados por los navegadores (como los marcadores) pueden revelar una variedad de información personal sobre los usuarios”, incluyendo “sitios bancarios, relaciones/intereses, redes sociales, etc.”, así como detalles sobre recursos internos de la red, como servidores, herramientas/paneles de control u otra infraestructura relacionada. Además, enumera numerosas amenazas que aprovechan los datos de los marcadores.

Ejemplos de Procedimientos:

  • APT38 (Grupo Lazarus - Corea del Norte): Recopila información de marcadores del navegador para obtener inteligencia sobre los dispositivos comprometidos, obtener datos personales de los usuarios e identificar recursos internos de la red.
  • Calisto: Troyano enfocado en MacOS que roba los marcadores de Google Chrome para descubrir portales web sensibles o aplicaciones empresariales.
  • Chimera: Grupo APT vinculado a China que recupera marcadores de los directorios de usuario de Windows, en particular de Internet Explorer y entornos Citrix, para espionaje corporativo.
  • Cuckoo Stealer: Ladrón de información basado en MacOS que recopila marcadores, cookies e historial de Safari para phishing y reconocimiento.
  • Empire: Marco de post-explotación de código abierto que roba marcadores del navegador y sitios visitados para movimientos laterales y escalamiento de privilegios.
  • Fox Kitten APT: Grupo APT iraní que roba los marcadores de Google Chrome para mapear recursos internos corporativos y puntos de acceso privilegiados.
  • Lizar: Malware desarrollado en Rusia que recupera el historial del navegador y marcadores para la creación de perfiles de objetivos.
  • Machete: Malware de espionaje que obtiene datos de perfil de usuario, incluidos marcadores, de Google Chrome y Mozilla Firefox.
  • Moonstone Sleet (APT ruso): Actor de amenazas vinculado a Rusia que despliega malware capaz de capturar información del navegador.
  • SUGARDUMP: Malware diseñado para recopilar marcadores e historial del navegador como parte de operaciones de reconocimiento.
  • Volt Typhoon (APT chino): Grupo APT vinculado a China que apunta a los datos del navegador de administradores de red para identificar sistemas de infraestructura crítica.

Fuente: https://attack.mitre.org/techniques/T1217/

Estos ejemplos del mundo real muestran que los marcadores están siendo activamente recopilados en ciberataques. En algunos casos, los marcadores robados se han utilizado para facilitar ataques de phishing dirigidos o intrusiones. Una vez obtenidos, un atacante puede analizar tus marcadores para conocer tus hábitos o planear ataques adicionales. Por ejemplo, un atacante con acceso a tus marcadores podría ver que frecuentas un sitio web bancario en particular y luego elaborar un correo electrónico de phishing relacionado con ese banco. En un escenario empresarial, si un atacante encuentra marcadores de sitios internos o portales VPN, obtiene pistas sobre cómo penetrar más profundamente en la red.

Además, la integridad de tus marcadores puede ser manipulada por malware. Dado que no hay protección contra modificaciones, un malware que infecte un sistema puede insertar marcadores maliciosos o alterar los existentes. Un método de ataque documentado es agregar un marcador que parece inofensivo pero que en realidad conduce a un sitio malicioso, atrayendo al usuario para que haga clic en él más tarde. Ha habido casos en los que un malware invisible insertó un marcador en el navegador; cuando el usuario finalmente hizo clic en él, fue dirigido a una página infestada de malware que instaló más malware​. Investigadores de seguridad han demostrado que los atacantes podrían usar las funciones de sincronización de marcadores como un canal encubierto, por ejemplo, insertando marcadores furtivos que transportan datos codificados fuera de la red a través de la sincronización en la nube del navegador​. Una vez que el malware tiene acceso a los archivos, también puede cambiar la URL de un marcador para redirigir a una página de phishing que se asemeje a la real (manteniendo el título familiar), engañando a los usuarios en un ataque de phishing en dos pasos​.

En resumen, los marcadores no protegidos presentan tanto un riesgo de confidencialidad (pueden ser leídos por actores no autorizados) como un riesgo de integridad (pueden ser alterados con fines maliciosos).

Los Marcadores como un Riesgo para la Privacidad (Perfilado y Seguimiento)

Más allá de los ciberataques, tu colección de marcadores puede representar un riesgo de privacidad si cae en manos equivocadas. Los marcadores suelen incluir un conjunto de sitios web seleccionados intencionalmente que consideras importantes, lo que significa que pueden dar una imagen detallada de tu vida, intereses y actividades. Una discusión sobre ciberseguridad en Stack Exchange señaló que filtrar tus marcadores "permitiría a alguien construir un perfil bastante preciso sobre quién eres y cuáles son tus intereses", incluyendo detalles personales inferidos de los marcadores de bancos, tiendas en línea o sitios de correo electrónico guardados​. Por ejemplo, un vistazo a los marcadores de alguien podría revelar información sobre su sindicato, sitios de viajes frecuentes, foros de salud, fuentes de noticias favoritas o sitios de pasatiempos, datos que podrían ser utilizados para perfilado o ingeniería social.

Desde el punto de vista del seguimiento y la analítica, una aplicación o extensión de navegador que pueda leer tus marcadores en silencio podría utilizarlos para crear un perfil tuyo con fines publicitarios o de minería de datos. A diferencia del historial de navegación (que es un registro crudo de todo lo que has visitado), los marcadores representan intereses intencionados: sitios que planeas volver a visitar. Esto es muy valioso para el perfilado. Un atacante o una aplicación intrusiva podría combinar los datos de los marcadores con otra información para crear un dossier detallado sobre la vida en línea de un usuario. En entornos corporativos, los marcadores podrían incluso incluir enlaces a herramientas internas o páginas de proyectos, lo que podría exponer afiliaciones o proyectos de la empresa. En un incidente APT reportado, los marcadores robados del navegador se utilizaron para identificar servidores internos y recursos dentro de la red de un objetivo​, utilizando efectivamente los "favoritos" de la víctima para mapear qué atacar.

También existe el riesgo de que información sensible esté presente en las URL de los marcadores. Algunas URL guardadas pueden contener cadenas de consulta con identificadores o claves privadas. Por ejemplo, si marcas un sitio web de una aplicación mientras estás conectado o viendo un registro específico, la URL podría incluir tokens de sesión o identificadores de base de datos. Si un atacante obtiene esos marcadores, podría extraer información de la propia URL o incluso reutilizar un token aún válido. Como se señaló en un foro de seguridad, un marcador podría almacenar accidentalmente un ID de cuenta o un número de transacción en su URL, datos que no querrías exponer públicamente​. Todas estas preocupaciones dejan en claro que los marcadores deben tratarse como datos personales.

Comodidad vs. Seguridad

El fácil acceso conlleva un riesgo. Los proveedores de navegadores han priorizado el acceso rápido a los marcadores para funciones como importación/exportación y sincronización. El problema es que cualquier programa que se ejecute bajo tu cuenta puede acceder a esos datos por igual. Un ejemplo claro de esta compensación entre comodidad y seguridad es la forma en que los navegadores importan marcadores entre sí. Debido a que los archivos de marcadores son fácilmente legibles, un navegador puede extraer los marcadores de otro para ayudarte a cambiar de navegador sin problemas. De hecho, se observó que Microsoft Edge importaba automáticamente los marcadores, historial, cookies y otros datos de los usuarios de Chrome en su primer inicio sin permiso explícito en algunos casos​. Esto tenía la intención de simplificar la configuración, pero generó preocupaciones sobre la privacidad: Edge básicamente leyó los datos no cifrados de Chrome en segundo plano. Microsoft incluso sincronizó esos datos con la cuenta de Microsoft del usuario si estaba iniciada sesión​, lo que podría haber invalidado cualquier cifrado de extremo a extremo que el usuario de Chrome hubiera establecido. Aunque los usuarios pueden deshabilitar estas funciones, el incidente destaca que una aplicación puede leer libremente los marcadores de otra sin consentimiento ni conocimiento del usuario.

Existe un debate en curso sobre si este statu quo es aceptable. Algunos investigadores de seguridad argumentan que los navegadores podrían hacer más, como evitar que programas externos lean el archivo de marcadores o al menos cifrar los datos. Sin embargo, hasta ahora, no existe un estándar industrial que exija el cifrado de los marcadores en reposo. Los reguladores no han abordado específicamente los marcadores del navegador en las leyes de privacidad, probablemente porque se malinterpretan como menos sensibles que, por ejemplo, las contraseñas o los números de tarjetas de crédito. Sin embargo, bajo regulaciones de privacidad amplias (como el GDPR o el CCPA), si una organización recopilara los marcadores de un usuario, probablemente calificarían como datos personales.

Algunas plataformas de marcadores basadas en la nube adoptan un enfoque diferente al no guardar copias locales, lo que garantiza que permanezcan seguros frente a amenazas locales. A diferencia del almacenamiento tradicional del navegador, estos servicios nunca almacenan marcadores en un estado sin cifrar. Por ejemplo, WebCull cifra los marcadores en reposo, en el dispositivo, y nunca almacena marcadores localmente, lo que reduce en gran medida los vectores de ataque.

Cerrar Sesión No Oculta tus Marcadores

Existe una creencia común pero errónea de que cerrar sesión en el perfil del navegador elimina o oculta los marcadores en ese dispositivo. En realidad, los marcadores permanecen almacenados localmente, totalmente visibles y fácilmente accesibles incluso después de haber cerrado sesión. Este problema se agrava cuando inicias sesión en tu perfil de navegador en dispositivos que no son exclusivamente tuyos, como la computadora de un familiar o un equipo de trabajo. Tus marcadores, que pueden revelar intereses sensibles o privados, permanecen en texto sin formato, y los navegadores ofrecen opciones muy limitadas para controlar o eliminar estos marcadores locales al cerrar sesión. Esta omisión significa que simplemente cerrar sesión no es suficiente para garantizar la privacidad. Cualquier persona que use ese dispositivo después de ti puede ver tus marcadores, lo que representa riesgos de privacidad y seguridad.

Conceptos Erróneos Sobre el Cifrado de Sincronización del Navegador

Una suposición incorrecta común es que habilitar el cifrado de extremo a extremo (E2EE) en el sistema de sincronización de un navegador significa que sus marcadores están completamente protegidos. Si bien es cierto que algunos navegadores, como Firefox y Chrome con una frase de contraseña personalizada, cifran los datos de los marcadores antes de sincronizarlos con la nube, esta protección solo se aplica a la transmisión y el almacenamiento en los servidores del proveedor. La realidad es que incluso con E2EE activado, los marcadores permanecen sin cifrar en reposo en la máquina local. Esto significa que cualquier programa, malware o usuario no autorizado con acceso al dispositivo aún puede leer y extraer los marcadores desde la carpeta de perfil del navegador. Este malentendido puede crear una falsa sensación de seguridad; de hecho, siguen siendo completamente accesibles en el dispositivo, vulnerables al spyware, ataques locales o extracción forense de datos.

Riesgos Regulatorios de Almacenar Marcadores sin Cifrar Junto con Datos Personales

Desde una perspectiva institucional, almacenar marcadores sin cifrar en reposo podría representar serias violaciones del GDPR o CCPA si esos marcadores contienen información personal identificable (PII). Muchas URL guardadas como marcadores, especialmente en entornos empresariales, incluyen metadatos o cadenas de consulta que contienen datos sensibles del usuario, como identificadores de sesión, nombres de usuario, números de cuenta o incluso enlaces directos a registros confidenciales. Si una organización conserva dichos marcadores sin cifrado, cualquier acceso no autorizado, filtración de datos o recuperación forense del archivo podría exponer datos privados del usuario, lo que podría constituir un incidente de privacidad notificable bajo el GDPR. Según estas regulaciones, las empresas están obligadas a proteger los datos del usuario con medidas de seguridad adecuadas, y no cifrar o restringir el acceso a los marcadores almacenados podría interpretarse como negligencia en la protección de la PII. En caso de una filtración de datos, las organizaciones podrían enfrentar multas elevadas: hasta 20 millones de euros o el 4 % de los ingresos globales bajo el GDPR, y sanciones igualmente significativas bajo el CCPA. Esto subraya los riesgos legales y financieros de tratar los marcadores como datos triviales, cuando en realidad pueden contener información altamente sensible del usuario.

Dadas estas realidades, está claro que la seguridad de los marcadores merece mayor atención tanto por parte de los usuarios individuales como de las organizaciones. El malentendido común sobre el cifrado de extremo a extremo en los navegadores resalta la importancia de distinguir entre la protección en la nube y las vulnerabilidades locales. Las instituciones, en particular, deben reconocer los riesgos legales y regulatorios significativos que implica almacenar marcadores que contienen información personal identificable (PII) sin cifrado. Hasta que los navegadores adopten medidas de seguridad más sólidas, los usuarios y las organizaciones deberían considerar alternativas seguras, como gestores de marcadores en la nube que garanticen que los marcadores permanezcan cifrados y aislados de posibles amenazas, para proteger los datos personales y cumplir con las leyes de privacidad como el GDPR y el CCPA.

Suscríbete al blog de WebCull

Recibe actualizaciones sobre nuevas publicaciones y otras noticias.

Blog de WebCull An alternate WebCull logo Exploramos el mundo y la web juntos.

Aprende cómo la organización reduce el estrés, mejora la cognición y aumenta la eficiencia en los espacios físicos y digitales.

Read More

Los navegadores web almacenan los marcadores en texto sin formato, lo que los hace vulnerables al malware, el acceso no autorizado, la creación de perfiles y posibles riesgos regulatorios.

Read More

Activa el cifrado de extremo a extremo antes de sincronizar para evitar copias de seguridad sin cifrar. El cifrado no es retroactivo: protege tus datos desde el principio.

Read More

Un análisis de la sincronización entre navegadores, cubriendo las necesidades de los usuarios, las soluciones actuales, los desafíos y los posibles desarrollos futuros.

Read More

Explora cómo herramientas de investigación con IA como Deep Research de OpenAI, Grok de xAI y Gemini de Google aceleran significativamente la búsqueda de información y los flujos de trabajo profesionales.

Read More

Organiza y sincroniza marcadores en varios dispositivos para un acceso fluido y una mayor productividad.

Read More

Los administradores de marcadores privados optimizan la colaboración al proporcionar repositorios de enlaces seguros y organizados. Descubra las necesidades del mercado, las características esenciales y las sutiles ventajas de WebCull.

Read More

Una interfaz desordenada abruma a los usuarios, mientras que un diseño limpio mejora la usabilidad, reduce la frustración y aumenta la productividad al eliminar distracciones innecesarias.

Read More

Descubre cómo las nuevas capacidades de búsqueda de ChatGPT podrían transformar el futuro de la recuperación de información, desafiar a los motores de búsqueda tradicionales y redefinir las estrategias de SEO en un mundo impulsado por la IA.

Read More

Explore la evolución de los hipervínculos y los marcadores, desde los primeros navegadores web hasta las herramientas modernas como WebCull, con un enfoque en los avances en sincronización, privacidad y funciones de productividad que mejoran la experiencia del usuario en todas las plataformas.

Read More

Por qué la fijación de precios bajos a menudo resulta contraproducente en los negocios, especialmente en B2B. Destaca la importancia de alinear los precios con el valor, la fiabilidad y el crecimiento, y ofrece alternativas como la fijación de precios escalonados y basada en el valor para un éxito sostenible.

Read More

This overview examines browsers with and without end-to-end encryption (E2EE) for syncing bookmarks, highlighting the importance of E2EE in ensuring that bookmarks are encrypted on the user’s device and can only be decrypted by the user, protecting them from unauthorized access.

Read More

Este blog explora las complejidades técnicas de la sincronización de marcadores entre dispositivos, centrándose en el impacto de diferentes patrones de sincronización—Espejo, Verificación de Diferencias y Libro Mayor—en la fiabilidad y seguridad del sistema.

Read More

Las regulaciones de protección de datos como el GDPR imponen requisitos estrictos sobre la integridad de todas las herramientas de software dentro del ecosistema de una organización. El cifrado de extremo a extremo (E2EE) en las herramientas de gestión web, como los gestores de marcadores, es vital para garantizar que incluso los datos auxiliares estén protegidos.

Read More

Las herramientas de marcadores web con capacidades de sincronización multiplataforma como WebCull pueden revolucionar la gestión del flujo de trabajo en diversos entornos profesionales.

Read More

Gestionar documentos en Google Drive a menudo se vuelve caótico a medida que aumenta el volumen de contenido. El gestor de marcadores de WebCull introduce un método sofisticado para organizar enlaces a recursos esenciales de Google Docs, Sheets y Gmail, creando un espacio de trabajo eficiente y optimizado.

Read More

Una gestión eficiente de los recursos aumenta la productividad del equipo. Las carpetas compartidas en la nube centralizan el acceso, y WebCull mejora esto con actualizaciones sincronizadas, búsqueda avanzada y gestión de roles de usuarios, garantizando una colaboración sin problemas.

Read More

Los gestores de marcadores deberían llamarse organizadores de enlaces. Ofrecen características más avanzadas que los gestores de marcadores del navegador, como la sincronización entre navegadores, herramientas avanzadas de organización como la selección múltiple y herramientas de colaboración.

Read More

Comprender E2EE (cifrado de extremo a extremo) y su papel en la protección de sus datos, sus aplicaciones, desafíos e impacto en la privacidad y las empresas.

Read More

WebCull ofrece gestión de marcadores con cifrado de extremo a extremo. Cifre sus marcadores con AES-256-GCM para una seguridad sólida. Los marcadores se cifran en su dispositivo antes de llegar a los servidores.

Read More

El artículo destaca la importancia de una documentación detallada para prevenir retrasos en los proyectos, abogando por prácticas colaborativas y herramientas modernas como WebCull para una gestión efectiva de documentos. Resalta que una documentación adecuada alinea a los equipos con los objetivos del proyecto, mejorando la eficiencia y el éxito.

Read More

Este artículo presenta cinco herramientas de paletas de colores indispensables para el diseño y desarrollo web, destacando características que realzan el atractivo visual, la experiencia del usuario y la accesibilidad, sirviendo como un recurso para diseñadores.

Read More

Explorando estrategias para superar los bloqueos de creatividad en diseño, equilibrando innovación con tendencias y organizando inspiración para mejorar los esfuerzos creativos.

Read More