- Google ha bloqueado y eliminado de Chrome Web Store la extensión Save Image as Type tras ser señalada por comportamiento malicioso.
- La herramienta, con más de un millón de usuarios, inyectaba códigos de afiliado propios en al menos 578 tiendas online.
- El cambio de propietario en 2024 desencadenó el uso de cookie stuffing, iframes ocultos y rastreo de navegación.
- Se recomienda desinstalar la extensión, limpiar cookies y optar por alternativas más transparentes como Save Image As PNG.
Instalar pequeñas extensiones en el navegador para ahorrarse pasos al navegar y trabajar con imágenes se ha convertido en algo tan automático que muchas veces ni reparamos en ello. Pero, como muestran diversos casos de extensiones de navegador maliciosas, el caso de Save Image as Type demuestra que esa comodidad puede salir muy cara cuando el desarrollador decide cruzar ciertas líneas.
Google ha bloqueado de forma remota la popular extensión de Chrome para guardar imágenes en otros formatos y la ha borrado de la Chrome Web Store tras detectarse un comportamiento catalogado como malware. Millones de usuarios en todo el mundo, también en España y el resto de Europa, se han encontrado de un día para otro con un aviso de seguridad y la herramienta desactivada.
Qué hacía Save Image as Type y por qué era tan usada
Save Image as Type se había ganado un hueco estable en el navegador de muchos usuarios porque resolvía un problema cotidiano muy concreto: permitía guardar cualquier imagen con un clic derecho eligiendo directamente entre formatos como JPG, PNG o WebP, incluso cuando la página solo servía el archivo en WebP.
No era una herramienta marginal. Diversos medios especializados como Android Police, Android Authority o 9to5Google señalan que superó el millón de instalaciones y acumulaba más de 1.700 reseñas, con una valoración alrededor de 4,2 estrellas sobre 5. En muchas redacciones, estudios de diseño y entornos de trabajo se había convertido en una extensión casi “de sistema”.
Esa popularidad se apoyaba en algo muy simple: en lugar de descargar la imagen y luego convertirla con otro programa, la conversión se resolvía desde el propio menú contextual de Chrome. Un clic menos aquí, otro menos allá… y la extensión acababa formando parte del flujo de trabajo diario sin que nadie le prestara demasiada atención.
Precisamente esa confianza, y el hecho de que estuviera instalada de forma masiva en equipos personales y corporativos, es lo que ha convertido el caso en un aviso serio sobre cómo gestionamos las extensiones del navegador.
Del éxito al bloqueo: cambio de dueño y salto al comportamiento malicioso
El giro en la historia llega cuando, tras años funcionando sin grandes polémicas, la extensión cambia de propietario y empieza a comportarse de forma diferente. Según la documentación recopilada por XDA y otros investigadores, en agosto de 2024 el proyecto habría pasado de manos del desarrollador original Image4Tools a un nuevo responsable que aparece como Lauren Bridge. Ese patrón ya se ha visto en otras extensiones maliciosas de Chrome que modificaron su comportamiento tras cambios en la gestión.
A partir de ese momento, los análisis del código detectan modificaciones en los archivos internos, especialmente en un script llamado inject.js. Ese archivo es el que comienza a levantar sospechas: desde ahí la extensión recopilaba las URLs que visitaban los usuarios, se comunicaba con un servidor remoto y alteraba silenciosamente determinados elementos de las páginas cargadas en el navegador, como han evidenciado informes sobre una extensión maliciosa que roba datos bancarios.
El comportamiento no se parecía a un virus clásico pensado para destrozar el equipo, sino a algo más sutil y difícil de ver a simple vista. Aprovechando los permisos amplios concedidos por los usuarios —en muchos casos sin leerlos con detalle—, la extensión podía “ver y cambiar los datos de los sitios visitados”, un nivel de acceso especialmente delicado cuando hablamos de compras online, banca, correo o cuentas corporativas.
Los primeros indicios públicos no vinieron de un aviso oficial, sino de hilos en Reddit en los que varios usuarios empezaron a notar comportamientos extraños, así como de foros como HTCMania o debates recogidos por medios tecnológicos. A partir de esas pistas, distintos investigadores desmontaron la trastienda de Save Image as Type.
Cookie stuffing: cómo funcionaba el fraude con enlaces de afiliados
Los análisis técnicos señalan que el verdadero problema estaba en una técnica conocida como cookie stuffing. En la práctica, la extensión utilizaba iframes invisibles y scripts en segundo plano para inyectar sus propios códigos de afiliado en sitios de comercio electrónico.
Para entenderlo de forma sencilla, basta con imaginar un programa de puntos: si alguien llega a una tienda gracias a tu recomendación, te llevas una comisión. El cookie stuffing consiste en colar tu identificador de afiliado en el navegador del usuario aunque tú no hayas sido quien le ha llevado hasta esa tienda. Cuando compra algo, la plataforma cree que tú has generado esa venta y te paga la comisión, aunque en realidad has aparecido a última hora y sin que nadie lo supiera.
En este caso, la extensión Save Image as Type detectaba cuándo visitabas determinadas webs de compras y cargaba en un iframe oculto la misma página, pero con sus propios parámetros de afiliado. De este modo, sustituía o añadía cookies que atribuían la venta al nuevo desarrollador de la extensión.
Los investigadores hablan de al menos 578 tiendas online afectadas por la inyección de códigos de afiliados, una cifra que probablemente se quede corta. Se mencionan comercios tan populares como Amazon o Best Buy entre los ejemplos analizados, lo que da una idea de hasta qué punto el alcance era potencialmente global.
El usuario, mientras tanto, no veía nada raro: seguía navegando, comprando y descargando imágenes con total normalidad. Pero en la sombra, las comisiones que deberían haber llegado a los creadores de contenido o a otros afiliados legítimos acababan desviándose hacia quien controlaba la extensión.
¿Malware o “solo” abuso económico? El punto de vista de la seguridad
Parte del debate ha girado en torno a si la etiqueta de “malware” es excesiva para un caso que, sobre el papel, no parecía robar contraseñas ni cifrar archivos, sino “solo” manipular enlaces de afiliados para generar ingresos.
Sin embargo, para Google y para la mayoría de expertos en ciberseguridad, el problema va mucho más allá del dinero. En primer lugar, porque la extensión hacía todo esto sin informar de forma clara ni pedir un consentimiento específico. Y en segundo lugar, porque para lograrlo tenía que operar con un nivel de acceso al navegador que, mal utilizado, abre la puerta a problemas más graves.
Las cookies no son únicamente rastros publicitarios. Gestionan sesiones, preferencias, identificaciones y parte del funcionamiento de muchas webs. Que una extensión decida jugar con eso a espaldas del usuario para monetizar el tráfico rompe de lleno las reglas básicas de confianza que se le exigen a cualquier complemento instalado desde una tienda oficial.
Además, el caso de Save Image as Type se parece peligrosamente a otros precedentes polémicos, como el de Honey, la conocida extensión de cupones ahora propiedad de PayPal, que en su día fue criticada por tácticas agresivas con los enlaces de afiliados. Aunque no estemos ante el mismo tipo de software malicioso que destruye sistemas, el patrón de “aprovechar el acceso al navegador para alterar el ecosistema de ingresos” sí encaja dentro de lo que muchos expertos consideran comportamiento malicioso.
Por todo esto, cuando Chrome muestra el mensaje de que una extensión contiene malware y la deshabilita, la señal va más allá de un simple aviso: esa extensión ha cruzado un límite de comportamiento aceptable dentro del ecosistema oficial de Google.
Cómo reaccionaron Google, Microsoft y el ecosistema de navegadores
La cronología también ayuda a entender la magnitud del caso. Según los reportes recopilados por XDA y otros medios, la red de comportamiento malicioso vinculada a este tipo de extensiones ya estaba documentada desde finales de 2024. De hecho, la versión para Microsoft Edge fue señalada en Reddit y otros foros por un comportamiento similar.
Microsoft habría sido el primero en actuar, eliminando la extensión de su tienda de Edge meses después de las primeras denuncias. En el caso de Google, la reacción ha sido más lenta: la extensión ha seguido funcionando en Chrome hasta marzo de 2026, cuando se ha producido el bloqueo masivo y la desaparición de su ficha en la Chrome Web Store.
Algunos medios recogieron versiones matizadas de la historia, apuntando a que en un momento dado el desarrollador habría intentado corregir las prácticas indebidas para lograr que la extensión volviera a estar disponible en la tienda. En cualquier caso, la decisión final de Google ha sido clara: deshabilitarla en los navegadores de los usuarios y marcarla con el aviso de malware.
Este episodio recuerda que las tiendas oficiales, como Chrome Web Store, no son entornos infalibles. Hay revisiones automatizadas, controles y denuncias de la comunidad, pero algunas extensiones logran colarse, ganar una base de usuarios enorme y, solo después, cambiar de manos o de comportamiento para explotar esa confianza.
Para muchos internautas europeos, acostumbrados a confiar en que las plataformas tecnológicas se ajusten a normativas estrictas como el RGPD, el caso sirve como toque de atención: instalar algo desde la tienda oficial no garantiza por sí solo que el software vaya a comportarse bien para siempre, especialmente si el proyecto se vende o cambia de responsable sin apenas transparencia.
Qué hacer si tenías instalada la extensión en Chrome
Si utilizabas Save Image as Type en Chrome y te has encontrado con el aviso de que “esta extensión contiene malware”, lo primero es comprobar que ya no está activa en tu navegador. En la mayoría de casos, Chrome la habrá deshabilitado automáticamente, pero conviene verificarlo manualmente.
El paso básico es entrar en la página de gestión de complementos (chrome://extensions/) y eliminar por completo la extensión si sigue apareciendo. Con eso evitas que pueda volver a activarse o ejecutarse en segundo plano en futuras sesiones. Si tienes problemas para acceder, consulta una solución rápida de acceso a configuración de Chrome.
Sin embargo, los especialistas recomiendan ir un poco más allá. Como la técnica utilizada pasaba por colocar y manipular cookies, es aconsejable borrar los datos de navegación, incluyendo “Cookies y otros datos de sitios”. Esto puede resultar algo incómodo, porque te obligará a iniciar sesión de nuevo en muchos servicios, pero es la forma más directa de eliminar rastros persistentes que pudieran quedar en el navegador.
En entornos de trabajo, especialmente en empresas que operan en España y la UE, donde la protección de datos es un asunto sensible, conviene también revisar si la extensión estaba instalada en equipos corporativos o en navegadores utilizados para acceder a herramientas internas, banca online o paneles de control críticos.
Lecciones para usuarios avanzados, empresas y equipos técnicos
Más allá del caso puntual, la historia de Save Image as Type deja varias lecciones aplicables tanto a usuarios individuales como a fundadores de startups, responsables de seguridad y equipos técnicos.
La primera es evidente: no basta con que una extensión sea popular o lleve años instalada para considerarla segura. Los cambios de propietario, las actualizaciones opacas y la falta de auditorías periódicas pueden convertir un complemento útil en un vector de abuso sin que la mayoría se dé cuenta.
Para empresas y administradores de sistemas, tiene sentido mantener una política clara sobre qué extensiones pueden usarse en equipos de trabajo. Limitar la instalación a un listado aprobado, revisar los permisos solicitados y estar atento a noticias de seguridad relacionadas con herramientas comunes puede evitar sorpresas desagradables.
En el plano técnico, este caso refuerza la importancia de monitorizar el comportamiento de las herramientas de terceros que se integran en procesos críticos, desde navegadores corporativos hasta automatizaciones de marketing o plataformas de e-commerce. Un pequeño script en segundo plano puede tener un impacto desproporcionado si actúa sobre cookies, enlaces o flujos de ingresos.
También es un recordatorio de que muchas amenazas modernas no pasan por romper el sistema de forma visible, sino por aprovechar vacíos grises para desviar datos y dinero de forma silenciosa. Desde el punto de vista legal y regulatorio, especialmente bajo la lupa de la normativa europea, esto abre debates sobre transparencia, consentimiento y responsabilidades compartidas entre desarrolladores y plataformas.
Alternativas seguras y cómo convivir con WebP sin sorpresas
El problema original que resolvía Save Image as Type sigue ahí: el formato WebP es cada vez más habitual porque pesa menos y suele comprimirse mejor, pero algunas aplicaciones y flujos de trabajo todavía no lo manejan con comodidad.
Varias publicaciones tecnológicas apuntan como opción a Save Image As PNG, otra extensión que permite guardar imágenes directamente en PNG y que, por ahora, mantiene un historial limpio y un comportamiento acorde a las normas de Chrome. Eso sí, incluso con alternativas recomendadas, conviene mantener cierta desconfianza sana: los permisos que se otorgan hoy pueden usarse de forma distinta mañana si el proyecto cambia de propietario o enfoque.
Antes de instalar cualquier complemento nuevo, resulta útil revisar qué acceso solicita: si una extensión para una tarea simple pide permisos muy amplios sobre todos los sitios visitados, quizá merece la pena buscar otra opción o prescindir de ella.
En muchos casos, el propio sistema operativo, los editores de imágenes o servicios web de confianza permiten convertir archivos WebP a formatos clásicos como JPG o PNG sin necesidad de añadir más piezas al navegador. A veces basta con abrir la imagen en una pestaña nueva, hacer una captura de pantalla de calidad o utilizar convertidores ya integrados en el flujo de trabajo.
La regla práctica que deja este episodio es muy sencilla: cuanto más “mágica” parezca una extensión y más acceso pida, más detenidamente hay que mirarla. Y, aunque se descargue desde la tienda oficial, no está de más revisar de vez en cuando qué tenemos instalado y si realmente lo seguimos necesitando.
Lo ocurrido con Save Image as Type ilustra hasta qué punto una herramienta aparentemente inocente puede transformarse en un mecanismo de rastreo y desvío de ingresos cuando entra en juego un nuevo dueño y unos incentivos económicos poco transparentes. Mantener el navegador limpio, cuestionar los permisos que concedemos y reducir al mínimo las extensiones instaladas se ha convertido en una de las formas más sencillas de cuidar la seguridad y la privacidad en la navegación diaria.
