La mayoría de usuarios abre Google Chrome pensando que “hoy no va a pasar nada”. Pero la realidad de 2024–2025 nos mostró otra cosa: campañas de malware que se disfrazan de extensiones útiles, correos con archivos comprimidos capaces de secuestrar tus sesiones y nuevas olas de “infostealers” que roban cookies y credenciales aunque uses doble factor. En América Latina, y particularmente en Colombia, el volumen de intentos de ataque creció de forma sostenida, mientras los delincuentes incorporan automatización e inteligencia artificial para engañar con más precisión. La buena noticia es que hay defensas prácticas —desde la configuración correcta de Chrome y sus nuevas protecciones, hasta decisiones inteligentes en procesos y capacitación— que reducen el riesgo de manera radical. Mi propósito con este texto es darte contexto, criterio y una ruta accionable para proteger lo esencial: tu identidad, tu dinero y la reputación de tu empresa.
👉 LEE NUESTRO BLOG para tomar decisiones seguras hoy.
Durante más de tres décadas acompañando organizaciones y equipos, he visto repetirse la misma escena: el incidente sucede en un clic. No aparece como una película de hackers con pantallas verdes; llega con el logo correcto, un asunto convincente o una “extensión de productividad” que promete atajos y termina vaciando sesiones y billeteras digitales. En estos meses, investigadores en la región alertaron de extensiones maliciosas que se hacen pasar por herramientas de seguridad en Chrome, capaces de inyectar formularios falsos en sitios bancarios y desviar fondos o credenciales sin que la víctima lo note. El reporte describe manipulación del DOM para alterar lo que ves, sustituir campos de pago y exfiltrar la información a un servidor de comando y control; su propagación, además, se apoyó en adjuntos comprimidos enviados por correo con apariencia de bancos reales. Esa técnica no es teoría: está documentada y activa en nuestra región.
Si miramos el panorama global, la fotografía es igual de clara: los infostealers —familia de malware diseñada para robar contraseñas, cookies de sesión y datos de navegador— se dispararon. ESET reportó que Lumma Stealer, por ejemplo, creció 369% entre el primer y el segundo semestre de 2024 y siguió activo en 2025, especializándose en extraer credenciales desde Chrome, Edge y Firefox, e incluso en apuntar a criptomonedas y otras cuentas de negocio. Esa categoría prolifera porque el robo de sesión es muy rentable: con una cookie válida, el atacante entra “como si fueras tú” y puede eludir temporalmente el doble factor.
A esa tendencia se suma otra pieza del rompecabezas: Zero-days en el propio navegador. En 2025, Chrome acumuló varios CVE explotados en la naturaleza; Google y la comunidad de investigación publicaron parches de emergencia para vulnerabilidades usadas en campañas de espionaje y cibercrimen. La conclusión operativa no cambia: si no actualizas, navegas con la puerta abierta. Mantener Chrome en su versión más reciente y reiniciarlo tras cada actualización ya no es “buena práctica”, es requisito para la continuidad del negocio.
Frente a este escenario, Chrome no se quedó quieto. En 2024 inició el despliegue de Safe Browsing con protección en tiempo real, que consulta listados de URL maliciosas actualizados continuamente y bloquea más intentos de phishing que el enfoque anterior basado en listas cada 30–60 minutos. También reforzó el Safety Check con nuevas señales para detectar extensiones indeseadas y profundizó el escaneo de descargas sospechosas, elevando la vara de seguridad del usuario promedio sin exigirle ser experto. Son avances que suman, pero que por sí solos no sustituyen la disciplina operativa en las empresas.
En paralelo, la industria avanza hacia la autenticación sin contraseñas. 2024 fue un punto de inflexión para los passkeys: gestores y plataformas reportaron crecimientos de triple y cuádruple dígito en adopción, con mejoras notorias en la tasa de inicio de sesión y resistencia al phishing. ¿Por qué importa en Chrome? Porque un passkey reduce el incentivo de robarte la contraseña y frena ataques “man-in-the-middle” que aún burlan algunos segundos factores. Cuando lo combinas con políticas de dispositivo, segmentación de acceso y monitoreo, pasas de “esperar el incidente” a “gestionar el riesgo”.
Para Colombia, el contexto eleva la urgencia. Distintas fuentes destacan que el país se ubica entre los más atacados de la región y que 2024 cerró con decenas de miles de millones de intentos bloqueados, junto con un aumento sostenido de denuncias por delitos informáticos. La lectura estratégica es directa: no basta con “antivirus y sentido común”; necesitamos gobierno de identidades, endurecimiento del navegador, higiene de extensiones, telemetría útil y formación recurrente. En organizaciones con ventas digitales, medios de pago y pauta en redes, la exposición es mayor: hemos visto campañas que secuestran sesiones de Meta Ads con extensiones falsas para drenar presupuestos publicitarios y tomar control de cuentas empresariales.
En ese terreno, una de las técnicas más dañinas es el robo de cookies o tokens de sesión. Por eso celebramos que Google esté introduciendo Device Bound Session Credentials (DBSC), una capa que “ata” las credenciales de sesión al dispositivo, desactivando el valor de una cookie extraída por un ladrón. Este enfoque, que ya prueba Workspace, corta la cadena de ataque que vimos en casos mediáticos y campañas dirigidas a creadores, marketers y equipos de ventas. Si administras un entorno con Chrome en Windows, evalúa el piloto y planifica su adopción cuando esté disponible para tu parque.
La foto no está completa sin hablar de extensiones. 2024 y 2025 nos dejaron campañas que usaron decenas o cientos de extensiones falsas, presentadas como VPN, finanzas o productividad, con el único objetivo de robar sesiones y datos, inyectar anuncios o ejecutar código espía. La recomendación es conservadora: listas blancas estrictas, revisión mensual de inventario y telemetría que permita detectar picos de llamadas a dominios nuevos. Si un equipo “necesita” una extensión, que sea parte de un proceso controlado: evaluación de permisos, proveedor, versión, reportes de seguridad, fuente de instalación y política de auto-actualización.
También conviene poner en contexto los cambios de privacidad del propio ecosistema de Chrome. Entre idas y vueltas regulatorias y técnicas, el cronograma de cookies de terceros ha tenido ajustes, y el sector publicitario sigue en transición hacia mecanismos de menor rastreo. Para el empresario esto implica dos tareas: por un lado, proteger al usuario final con configuraciones de privacidad sensatas; por otro, re-pensar la analítica y el marketing para no depender de técnicas de seguimiento invasivo. Un negocio que depende de rastrear todo, todo el tiempo, nace vulnerable por diseño.
Ahora vayamos a lo práctico. ¿Cómo te roban información en Chrome en 2025? A través de un archivo ZIP que instala un infostealer; mediante una extensión “útil” que, al obtener permisos de lectura y escritura, captura formularios y sustituye números de cuenta o direcciones de wallet; explotando un zero-day del navegador para escapar del sandbox; o con ingeniería social de toda la vida en correos y publicaciones que fuerzan tu clic. Cuando el problema no es técnico sino humano, la solución también debe serlo: protocolos claros para manejar adjuntos, prohibición de instalar software fuera de canales oficiales, cultura de reporte sin culpa y simulaciones periódicas que lleven la teoría a la práctica.
En mis consultorías, suelo comenzar con un diagnóstico funcional del entorno de navegación. No se trata solo de “activar todo”: se trata de elegir bien, medir y sostener. Safe Browsing en modo reforzado para perfiles de riesgo; Password Manager con alerta de contraseñas comprometidas; passkeys donde el flujo de negocio lo permita; aislamiento de perfiles por rol o unidad de negocio; listas blancas de extensiones administradas; y políticas de actualización que obliguen a reiniciar Chrome. Al mismo tiempo, monitoreo de eventos relevantes: instalación de extensiones, cambios de permisos, llamadas a dominios desconocidos después de una instalación y picos de autenticaciones fallidas que puedan indicar robo de sesión.
La formación también madura. La gente aprende cuando experimenta: un taller de 45 minutos con casos reales de la empresa, roles definidos y métricas antes-después cambia más que cualquier manual. Simula el error con correos controlados y mide reacciones. Acompaña eso con guías de bolsillo: “señales rojas” para identificar falsos formularios, rutas de escalamiento y una regla de oro: si el navegador pide credenciales en un contexto inesperado, detente y consulta. Estas prácticas sencillas, repetidas, crean una cultura de defensa que Chrome —con todo su arsenal— no puede reemplazar por sí solo.
La otra cara de la moneda es el cumplimiento. En Colombia, la protección de datos personales no es optativa ni “de IT”: es estrategia empresarial. La custodia de credenciales, la trazabilidad de cambios en el navegador y el control de extensiones que procesan datos de clientes encajan con tus obligaciones frente a la SIC y a tus contratos con terceros. Si manejas pagos, los controles del navegador conviven con PCI DSS; si operas con el sistema financiero o provees servicios a entidades vigiladas por la SFC, revisa los indicadores de seguridad y ciberseguridad que la Superintendencia publica y toma esos marcos como base para tus métricas internas. El navegador es un eslabón más de un sistema de gobierno de seguridad.
Vale la pena sumar un matiz sobre móviles. Aunque hablemos de Chrome en escritorio, buena parte del fraude y el robo de datos migra a teléfonos; allí, los troyanos bancarios y la suplantación por apps falsas crecen trimestre a trimestre. Si administras flotas Android, estandariza el navegador, aplica políticas de instalación desde tienda oficial, segmenta perfiles de trabajo y usuario y limita el uso de extensiones o funciones experimentales. Recuerda: tu sesión de negocio puede estar abierta en múltiples dispositivos; basta con que uno caiga para que el atacante pruebe “dónde más entras”.
Finalmente, una reflexión sobre gobernanza y marketing. Varias campañas maliciosas no buscan “tu dinero” directo, sino el control de tus activos digitales para monetizarlos: cuentas de anuncios, administradores de páginas, gestores de comercio o plataformas de streaming. Una sesión de Ads robada puede quemar presupuestos en horas y dañar tu reputación durante meses. Por eso, en equipos de marketing y ventas incorporamos controles propios: MFA robusto, passkeys, perfiles de Chrome bloqueados, registro de extensiones permitidas, alertas ante cambios de administradores y rotación periódica de claves API. Nadie queda fuera: seguridad es un deporte de equipo.
En síntesis, proteger tu información en Chrome en 2025 exige una mezcla de tecnología, procesos y cultura. La tecnología pone capas: protección en tiempo real, aislamiento de perfiles, escaneo de descargas, bloqueo de extensiones ajenas y la llegada de credenciales vinculadas al dispositivo. Los procesos dan previsibilidad: listas blancas, inventarios, actualizaciones obligatorias, telemetría accionable y auditorías internas que detecten desviaciones antes de que se transformen en crisis. Y la cultura sostiene en el tiempo: decisiones que las personas entienden, rituales de aprendizaje y liderazgo visible que recompensa reportar a tiempo. No se trata de vivir con miedo, sino de gobernar con criterio.
¿Listo para transformar tu empresa con tecnología funcional?