- Google ha bloqueado y eliminado la extensión Save as Image Type por contener código malicioso que manipulaba enlaces de afiliados.
- El problema comenzó tras un cambio de propietario, que aprovechó la base de usuarios para introducir cookie stuffing y redireccionamiento de ingresos.
- Casos como QuickLens o NexShield demuestran que las extensiones pueden transformarse en vectores de ataque tras actualizaciones aparentemente legítimas.
- Se recomienda desinstalar extensiones sospechosas, revisar permisos y usar alternativas seguras para guardar imágenes y mejorar la seguridad del navegador.
Una extensión muy popular de Google Chrome para guardar imágenes ha pasado en cuestión de meses de ser una herramienta de confianza a convertirse en un quebradero de cabeza para más de un millón de usuarios. El complemento, conocido como Save as Image Type o Save Image as Type según la fuente, llevaba años siendo una solución muy cómoda para descargar imágenes en varios formatos… hasta que Google la ha marcado como malware y la ha eliminado de la Chrome Web Store.
Este caso no es un incidente aislado, sino un ejemplo claro de cómo las extensiones del navegador se han convertido en un objetivo prioritario para los ciberdelincuentes: son fáciles de instalar, suelen tener muchos permisos y la mayoría de la gente confía en ellas sin pensárselo demasiado. Aquí vamos a desgranar qué ha pasado exactamente con Save as Image Type, qué otros casos similares se han detectado (QuickLens, NexShield…), qué riesgos reales hay para tu privacidad y qué puedes hacer para protegerte sin renunciar a las ventajas de las extensiones.
Qué es Save as Image Type y por qué se hizo tan popular
Save as Image Type se había ganado un hueco en el día a día de muchos usuarios porque permitía guardar imágenes en formatos como JPG o PNG directamente desde el menú contextual, incluso cuando la imagen original estaba en WebP u otros formatos menos cómodos de manejar. Bastaba con hacer clic derecho y elegir el tipo de archivo deseado.
Esta función tan simple se hizo imprescindible para periodistas, creadores de contenido, diseñadores y usuarios que trabajan a diario con imágenes. Las descargas superaron el millón de instalaciones y su reputación era, en apariencia, impecable. No era una extensión de “ofertas” o “cupones” (a menudo sospechosas), sino una utilidad muy específica y aparentemente inofensiva.
Precisamente por ese perfil tan técnico y poco llamativo, casi nadie se planteaba que pudiera esconder comportamientos maliciosos. El complemento servía para lo que prometía: convertir y almacenar imágenes con rapidez. No había publicidad intrusiva, ni pop-ups raros, ni nada que hiciera saltar las alarmas a simple vista.
Con el tiempo, la extensión llegó a convertirse en una de las opciones más recomendadas en foros y comunidades técnicas para evitar el engorro del formato WebP y poder guardar las imágenes en formatos clásicos y más compatibles.
El giro oscuro: cambio de propietario y aparición de malware
El punto de inflexión llegó cuando se produjo un cambio de propiedad del proyecto. En torno a agosto de 2024, el correo del desarrollador asociado a la extensión dejó de ser el de Image4Tools y pasó a manos de un nuevo titular. A partir de ese momento, diversas investigaciones coinciden en que comenzaron los cambios maliciosos en el código.
Esta maniobra encaja con un patrón que ya han documentado varios expertos en ciberseguridad: extensiones legítimas que se venden o transfieren a nuevos dueños y que, aprovechando la base de usuarios consolidada, introducen actualizaciones con funciones ocultas para monetizar o incluso robar datos.
En el caso de Save as Image Type, las nuevas versiones empezaron a incluir scripts capaces de manipular enlaces de afiliados en sitios de comercio electrónico. La extensión ya no se limitaba a gestionar imágenes: pasaba a “meter mano” en cómo se rastreaban las compras de los usuarios.
Este tipo de cambio pasa fácilmente desapercibido porque las actualizaciones de extensiones suelen instalarse de forma automática y la mayoría de personas no revisa ni los permisos ni las notas de versión. Así, una herramienta confiable durante años puede convertirse de un día para otro en un vector de abuso sin que nadie se entere hasta que el daño ya está hecho.
Este problema no se limita a esta extensión concreta: investigaciones recientes han documentado otros casos donde, tras un traspaso de propiedad, las extensiones comenzaron a inyectar scripts, descargar código remoto y extraer información confidencial, camuflando las nuevas funciones maliciosas bajo la apariencia de simples mejoras.
Cómo actuaba el malware: cookie stuffing y robo de comisiones
Lo más llamativo de este caso es que el malware no estaba diseñado para borrar archivos ni cifrar el disco duro como un ransomware típico, ni parecía orientado a un robo masivo de contraseñas en primera instancia. Su comportamiento era bastante más sutil.
La extensión se dedicaba a alterar los enlaces de afiliación en tiendas online como Amazon o Best Buy. En lugar de mostrar el enlace “limpio” o el que correspondía a otro afiliado legítimo, inyectaba sus propios parámetros de seguimiento para redirigir las comisiones a los responsables de la extensión.
Esta técnica se conoce como cookie stuffing o “relleno de cookies”: se introducen cookies o parámetros de afiliado sin que el usuario haga una acción explícita, de forma que las futuras compras se atribuyen a quien ha hecho la trampa, aunque no tengan nada que ver con esa recomendación.
Los informes hablan de actividad detectada en al menos 578 sitios diferentes, aunque es muy probable que la cifra real sea mayor, ya que este tipo de prácticas son difíciles de identificar y, por lo general, pasan desapercibidas durante bastante tiempo.
Desde un punto de vista técnico y legal, se trata de un redireccionamiento de ingresos por afiliados: una forma de fraude que ya se ha visto en otras extensiones, sobre todo en aquellas que prometen encontrar chollos, descuentos o cupones para comprar más barato en e-commerce conocidos.
Aquí, sin embargo, el engaño era más perverso todavía porque la extensión no se presentaba como herramienta de compras ni como sistema de ahorro. Era, en teoría, un simple conversor de imágenes, por lo que nadie esperaba que se metiera en asuntos de afiliación ni seguimiento de compras.
Cuándo reaccionaron Microsoft y Google
Las cronologías disponibles muestran que Microsoft detectó comportamientos sospechosos antes que Google. La versión de la extensión para el navegador Edge fue retirada de la tienda de complementos en febrero de 2025, tras observarse patrones anómalos vinculados a la manipulación de enlaces y cookies.
En el ecosistema de Chrome, la respuesta fue más lenta. Save as Image Type permaneció disponible en la Chrome Web Store hasta marzo de 2026, lo que permitió que el alcance potencial del problema creciera durante más de un año adicional respecto a Edge.
Cuando Google actuó, la medida fue contundente: la extensión fue bloqueada, retirada de la tienda y los usuarios que aún la tenían instalada empezaron a ver un mensaje en el navegador indicando: “Esta extensión está bloqueada. Google encontró que ‘Save as Image Type’ contiene malware”.
Este aviso oficial es una de las señales más claras que el usuario puede recibir, pero también llega tarde: para entonces, la extensión ya había tenido tiempo de manipular datos de navegación y comisiones de compra, y de alimentar la cadena de fraude asociada a los códigos de afiliado.
Todo el episodio ha alimentado el debate sobre si los mecanismos de revisión de extensiones en Chrome y Edge son suficientes y sobre la capacidad real de las plataformas para detectar cambios maliciosos que llegan a través de actualizaciones aparentemente inocuas.
Riesgos reales para los usuarios: privacidad, datos y confianza
En este caso concreto, los análisis apuntan a que no hay pruebas sólidas de que Save as Image Type haya desplegado otros tipos de malware más agresivos, como keyloggers o troyanos diseñados para robar contraseñas de forma directa. El foco estaba en el negocio de los enlaces de afiliado.
Aun así, el impacto no puede minimizarse: la extensión explotaba la navegación del usuario sin su consentimiento, manipulando cookies y parámetros de seguimiento para obtener un beneficio económico encubierto. Eso supone una violación clara de la privacidad y de la confianza depositada en el complemento.
Además, cualquier extensión que inyecta scripts y modifica el contenido de las páginas abre una puerta potencial a otros ataques: desde el robo de datos de sesión hasta formas más complejas de seguimiento o monetización oscura, especialmente si el código malicioso se descarga de forma remota y puede modificarse sin pasar por un nuevo proceso de revisión oficial.
Este tipo de comportamientos refuerza las advertencias de las empresas de seguridad, como ESET, que recuerdan que cada extensión instalada tiene acceso a una parte importante de nuestra actividad online. No es simplemente “un botón más en el navegador”, sino una pieza de software con permisos que pueden ir desde leer todos los datos de las webs que visitas hasta modificar lo que ves o lo que envías.
Por si fuera poco, otros informes recientes han detectado casos donde las extensiones, tras un cambio de propietario, empezaron a inyectar código adicional en las páginas y a descargar scripts desde servidores remotos. Esto complica mucho la detección, porque el código malicioso no siempre está dentro del paquete original, sino que se trae “a demanda” una vez instalada la extensión.
Otros casos sonados: QuickLens y NexShield
Lo ocurrido con Save as Image Type no es una anécdota aislada. En los últimos tiempos se han destapado otros episodios muy similares que muestran cómo las extensiones de Chrome se convierten en vectores ideales para ataques de distinto tipo.
Un ejemplo reciente es QuickLens, una extensión que prometía llevar la tecnología de Google Lens al navegador para hacer búsquedas visuales en cualquier página web. Publicada en octubre, creció muy deprisa, superó las 7.000 instalaciones e incluso consiguió una insignia de verificación en la Chrome Web Store.
En sus primeras versiones, QuickLens cumplía con lo prometido. Aunque pedía permisos considerados “potencialmente abusivos”, estos encajaban con sus funciones de captura de pantalla y análisis visual. La firma de ciberseguridad Annex revisó el código y no encontró problemas relevantes en un primer momento.
La situación dio un vuelco con la actualización 5.8, publicada el 17 de febrero. Esa versión empezó a solicitar nuevos permisos, añadió scripts adicionales y estableció comunicación con un servidor de comando y control, lo que permitía recibir instrucciones externas para ejecutar acciones en el navegador del usuario.
Entre las técnicas detectadas se encontraban ataques de tipo clickjacking, exponer el tráfico web a manipulaciones y un mecanismo de ejecución remota apoyado en la carga de píxeles de imagen, una táctica bastante sofisticada para lanzar código malicioso sin levantar sospechas evidentes.
Las investigaciones revelaron que esta deriva no venía del desarrollador original. Pocos días después de llegar a la tienda, QuickLens fue puesta a la venta en ExtensionHub. El nuevo dueño tomó el control el 1 de febrero y, apenas 16 días más tarde, lanzó la polémica versión 5.8, disparando las alarmas y provocando que se avisara a los usuarios afectados.
Otro caso llamativo es el de NexShield, una supuesta extensión para bloquear publicidad que llegó a publicarse tanto en la Chrome Web Store como en la tienda de extensiones de Edge. Se presentaba como una herramienta de privacidad e incluso usaba el nombre de Raymond Hill, creador de uBlock Origin, como reclamo de confianza.
En la práctica, NexShield se comportaba como un ataque de tipo DoS contra el propio navegador. Generaba conexiones chrome.runtime sin parar, elevando el uso de RAM y CPU hasta provocar cuelgues, cierres inesperados y un funcionamiento errático del sistema. El equipo de Huntress bautizó este patrón como CrashFix.
El truco final consistía en que, tras forzar al usuario a reiniciar el navegador, aparecía un popup con un mensaje alarmista sobre supuestos problemas de seguridad e instrucciones para “arreglarlo”. Dichas instrucciones guiaban a copiar un código en el Bloc de notas y ejecutarlo desde CMD, lo que desencadenaba la descarga de un script de PowerShell y, con él, la infección real del equipo.
Para mayor confusión, la extensión no siempre activaba el problema de inmediato. En muchos casos se esperaba a que transcurrieran unos 60 minutos desde la instalación antes de poner en marcha toda la cadena de engaño, dificultando que el usuario relacionara la extensión recién añadida con el caos del sistema.
Síntomas que pueden delatar una extensión maliciosa
Detectar este tipo de ataques no siempre es sencillo, pero hay algunas señales que conviene tener en el radar. Una de las más claras son los avisos directos del propio navegador indicando que una extensión ha sido bloqueada por contener malware. Si Chrome o Edge muestran un mensaje de este tipo, lo prudente es no ignorarlo.
Más allá de las alertas oficiales, es recomendable estar atento a cambios repentinos en el rendimiento del equipo: un uso inusual de memoria RAM o CPU, el navegador que se cuelga sin motivo aparente, pestañas que tardan mucho en cargar o que se cierran solas pueden indicar que algo no va bien.
En el ámbito de la navegación, pueden ser sospechosas las redirecciones inesperadas, por ejemplo, cuando intentas entrar en una web concreta y acabas en otra distinta o vuelves una y otra vez a google.com sin explicación clara. Algunos usuarios han descrito situaciones similares al hablar de extensiones extrañas como YFaceWeb, que reaparece sola incluso después de desinstalarla.
También es un mal síntoma notar saltos extraños al visitar tiendas online, enlaces que cambian un instante antes de hacer clic o páginas de checkout que cargan parámetros poco habituales en la barra de direcciones. Son detalles sutiles, pero pueden indicar que algún complemento está manipulando lo que ves.
Finalmente, conviene revisar de vez en cuando si han aparecido extensiones que no recuerdas haber instalado o que no localizas en la Chrome Web Store, porque podrían haberse colado a través de otros programas o de instaladores empaquetados.
Qué hacer si tenías Save as Image Type u otras extensiones sospechosas
Si aún conservas Save as Image Type instalada, lo primero es eliminarla manualmente desde la página de extensiones del navegador (en Chrome, escribiendo chrome://extensions/ en la barra de direcciones) y comprobar que no queda rastro alguno.
Una vez desinstalada, es recomendable borrar las cookies y los datos de navegación, especialmente si sueles comprar online o gestionas cuentas de afiliado. Esto ayuda a neutralizar parte del rastro que la extensión haya podido dejar en forma de cookies manipuladas o parámetros de seguimiento.
Si utilizas programas de afiliación, merece la pena revisar los movimientos recientes y las comisiones registradas para identificar anomalías: picos de clics o compras que no se corresponden con tu actividad normal podrían estar relacionados con la manipulación de enlaces.
En escenarios más agresivos, como los vinculados a NexShield, no basta con quitar la extensión del navegador. Dado que el ataque puede haber descargado scripts y otros componentes maliciosos al sistema, la recomendación es realizar una limpieza profunda del disco y un análisis completo con un buen antivirus actualizado.
Independientemente del caso, mantener el navegador actualizado y contar con soluciones de seguridad que vigilen el comportamiento de las extensiones puede marcar la diferencia a la hora de detectar comportamientos anómalos antes de que el problema vaya a más.
Alternativas seguras para guardar imágenes en Chrome
La retirada de Save as Image Type deja un hueco para quienes estaban acostumbrados a guardar imágenes en distintos formatos con un par de clics. Por suerte, hay otras opciones que la comunidad ha ido señalando como alternativas más fiables y, de momento, sin historial de comportamientos maliciosos.
Entre las extensiones recomendadas destacan “Guardar imagen como PNG”, pensada para quienes necesitan forzar este formato con frecuencia; “Conversor de guardar imagen”, que amplía las posibilidades de conversión; y “Guardar imagen como JPG, PNG, WebP”, una opción versátil que cubre los formatos más usados en el día a día.
Estas herramientas permiten, igual que hacía Save as Image Type, trabajar desde el menú contextual al hacer clic derecho sobre cualquier imagen, eligiendo el formato de guardado sin pasos adicionales. De acuerdo con los análisis actuales y las valoraciones de usuarios, cumplen las normas de seguridad de la Chrome Web Store.
A pesar de ello, los expertos insisten en que no hay que bajar la guardia con ninguna extensión. Antes de instalar, conviene revisar los permisos que solicita, quién es el desarrollador, qué opiniones recientes está recibiendo y si ha habido cambios sospechosos de propietario o de comportamiento tras una actualización.
Cuando sea posible, también es buena idea apoyarse en soluciones nativas del sistema operativo o en conversores online bien conocidos para gestionar formatos de imagen, de forma que no dependas al cien por cien de extensiones de terceros que pueden cambiar de manos sin previo aviso.
Lo que muestran todos estos casos es que una extensión útil hoy puede transformarse en una amenaza mañana con una simple actualización. Mantener un ojo crítico sobre lo que instalas, revisar periódicamente tus complementos y desconfiar de comportamientos extraños en el navegador se ha vuelto casi tan importante como tener un antivirus al día.
El ecosistema de extensiones de Chrome y otros navegadores seguirá siendo clave para mejorar la experiencia web, pero lo vivido con Save as Image Type, QuickLens o NexShield deja claro que la comodidad de un clic extra no puede ir por delante de la seguridad y de la privacidad; toca encontrar el equilibrio entre aprovechar las ventajas de estos complementos y no dejar la puerta abierta a que cualquiera pueda meter mano en tus datos o en tu equipo sin que te des cuenta.
