Blog · Aviso de seguridad · Actualizado el 14 de julio de 2026
Cómo eliminar el malware de ModHeader y limpiar lo que dejó atrás
A principios de julio de 2026, Google marcó ModHeader v7.0.18 como malware y Microsoft lo retiró de la tienda de Edge, después de que los investigadores reportaran que incluía un SDK oculto de recolección de datos. Esta es una lista de limpieza práctica y sin alarmismos: confirma si estás afectado, elimínalo, borra los restos en Mac y Windows y protege lo que haya podido tocar.
Esta guía está escrita para serte útil tanto si acabas usando VibeHeader como si no. Todo lo que se dice aquí sobre ModHeader está atribuido a Google, Microsoft y los investigadores independientes enlazados en las fuentes: nada es análisis nuestro. Si Chrome o Edge ya te han desactivado la extensión, es buena señal de que la limpieza de abajo va contigo.
¿Tienes prisa? Lo esencial son cuatro pasos, en este orden (los detalles, más abajo):
Elimina la extensión de Chrome y Edge.
Borra sus carpetas de almacenamiento residuales en Mac o Windows.
Bloquea api.stanfordstudies.com en tu DNS o archivo hosts.
Rota todas las credenciales que hayas pegado en la extensión.
Qué pasó (la versión de 60 segundos)
A principios de julio de 2026, Google marcó ModHeader como malware y lo desactivó, y Microsoft lo retiró de la tienda de complementos de Edge (hacia el 3 de julio; la ficha de Chrome desapareció alrededor del 10 de julio).
Los investigadores reportaron que la build 7.0.18 de ModHeader incluía un SDK oculto —escondido en un archivo disfrazado de librería de fechas (dayjs.min-*.js)— que recopilaba los dominios que visitabas, los cifraba con AES-GCM y los enviaba por POST una vez al día a un recolector de terceros en api.stanfordstudies.com/app/log (un sitio titulado «Stanford Studies» sin relación alguna con la Universidad de Stanford).
Alcance reportado: aproximadamente ~900.000 instalaciones en Chrome más ~700.000 en Edge (~1,6 millones en total). Algunos artículos citan solo la cifra de ~800.000 de Chrome.
Matiz importante: según los investigadores, el recolector se distribuyó inactivo, dormido tras una lista de permitidos vacía —en sus pruebas no se envió nada—, pero el endpoint, la clave y el planificador estaban listos y una actualización futura podía encenderlo. Por eso lo más preciso es hablar de un riesgo grave de exposición, no de una filtración masiva confirmada.
Si todavía tienes ModHeader instalado, la recomendación generalizada es eliminarlo. Así se hace una limpieza a fondo.
Paso 1 — Confirma si estás afectado
Abre chrome://extensions (y edge://extensions si usas Edge) y activa el modo de desarrollador para que se muestren los números de versión.
Nombre: ModHeader — Modify HTTP headers
ID de la extensión:idgpnmonknjnojddfkpgkljpfnnfcklj
Versión señalada:7.0.18 (si tienes esta build, considérate afectado)
Si la revisión de seguridad de Chrome ya te muestra «Esta extensión contiene malware», estás en el sitio correcto: no te limites a cerrar el aviso, completa toda la limpieza de abajo. El aviso real tiene este aspecto:
La revisión de seguridad de Chrome marcando ModHeader como malware y recomendando eliminarlo.
Paso 2 — Elimina la extensión (Chrome y Edge)
Ve a chrome://extensions → localiza ModHeader → pulsa Quitar → confirma. Repite en edge://extensions.
Si el navegador ya la desactivó, déjala desactivada y pulsa Quitar igualmente: desactivarla solo impide que se ejecute, pero no borra sus datos en caché.
Hazlo en cada perfil del navegador donde la tuvieras instalada (cada perfil de Chrome es independiente).
Paso 3 — Borra los datos locales residuales
Desinstalar suele limpiar la mayor parte, pero los datos en caché de la extensión —que según los investigadores podían superar con creces los 100 MB de cabeceras de petición/respuesta almacenadas, con posibles tokens y cookies— a veces se quedan atrás. Para ir sobre seguro, borra las carpetas siguientes que aún existan. Sustituye Default por tu carpeta de perfil real (revisa también Profile 1, Profile 2, …).
macOS
Dentro de ~/Library/Application Support/Google/Chrome/ (y el equivalente de Edge bajo Microsoft Edge):
Cierra el navegador por completo antes de borrar estas carpetas; si no, los archivos pueden estar bloqueados.
💡 Consejo: encárgale el barrido a un agente de código. Si usas un coding agent como Claude Code o Codex, pégale la URL de esta guía (o la lista de carpetas de arriba) y pídele que localice y elimine los directorios residuales de ModHeader en todos tus perfiles del navegador; es especialmente útil cuando tienes varios perfiles y te preocupa dejarte alguno. Dos precauciones: cierra antes el navegador por completo, y pídele que primero liste lo que encontró y espere tu confirmación antes de borrar nada.
Paso 4 — Bloquea el dominio de exfiltración
Bloquea el recolector y deja registro, para que nada pueda alcanzarlo ni siquiera desde alguna copia en caché suelta:
Particulares: añade 0.0.0.0 api.stanfordstudies.com a tu archivo hosts (/etc/hosts en macOS/Linux, C:\Windows\System32\drivers\etc\hosts en Windows), o bloquéalo en tu resolutor DNS / Pi-hole.
Equipos: añade api.stanfordstudies.com (y el dominio padre stanfordstudies.com) a vuestra lista de bloqueo DNS / firewall de salida, y busca en los logs del proxy y del DNS cualquier POST /app/log histórico hacia ese host.
Paso 5 — Rota todo lo sensible que le hayas dado
Como la extensión podía leer y almacenar las cabeceras que pasaban por tu navegador, trata como potencialmente expuesto todo lo que solías pegar en ella y vuelve a emitirlo:
Tokens Authorization / Bearer y claves de API usados en configuraciones de cabeceras.
Cookies de sesión que establecías por cabecera para pruebas.
Cualquier hostname interno o credencial de staging que apareciera en tus juegos de cabeceras.
Es una medida preventiva, dado el estado inactivo reportado; pero rotar un token es un seguro barato comparado con dar por hecho que no pasó nada.
Indicadores de compromiso (para equipos de seguridad / IT)
Busca lo siguiente en los endpoints gestionados. Los indicadores mejor corroborados son el ID de la extensión, la versión, el endpoint de exfiltración y el nombre de archivo camuflado; los marcados como (según lo reportado) proceden del análisis original de ingeniería inversa y se incluyen por exhaustividad.
Tipo
Indicador
ID de la extensión
idgpnmonknjnojddfkpgkljpfnnfcklj
Versión
7.0.18
Red (exfiltración)
POST saliente hacia api.stanfordstudies.com/app/log
Dominio
api.stanfordstudies.com, stanfordstudies.com
Archivo camuflado
dayjs.min-*.js (SDK de recolección de datos)
Archivo relacionado (según lo reportado)
background-94ad634d.js
Clave AES incrustada (según lo reportado)
aWfU3yG_wksZaQdSnxPJBOId0cAN8KK/UIlZbli7-bE
Sal de fingerprint (según lo reportado)
mod盐header
Comportamiento reportado: recolección solo de dominios (sin URL completas, sin valores de cookies, sin contraseñas), cifrado AES-GCM, una subida en lote al día con planificación aleatoria por dispositivo, y sin ejecución remota de código ni carga de scripts externos.
Preguntas frecuentes
¿De verdad robaron mis datos de navegación?
Según los investigadores que analizaron la build 7.0.18, el recolector se distribuyó inactivo tras una lista de permitidos vacía, así que en su entorno de pruebas no se envió nada. Pero el endpoint, la clave y el planificador estaban presentes, y una actualización posterior podía activarlo. Trátalo como un riesgo real de exposición, no como una filtración confirmada: elimínalo, borra sus datos y rota las credenciales que hayas pegado en él.
Chrome ya lo desactivó, ¿he terminado?
Todavía no. Desactivarlo impide que se ejecute, pero no borra sus datos en caché local (que según lo reportado podían superar con creces los 100 MB de cabeceras, tokens y cookies almacenados). Elimínalo por completo y borra las carpetas residuales del paso 3.
¿Qué versión estaba afectada?
Los investigadores atribuyeron el SDK oculto a la build 7.0.18 (ID idgpnmonknjnojddfkpgkljpfnnfcklj). A principios de julio de 2026, Google lo marcó y desactivó, y Microsoft lo retiró de Edge.
¿Qué uso en su lugar?
Elige con estos criterios: ligero, nativo de MV3, sin anuncios, sin analítica y con permisos que se entiendan de un vistazo. VibeHeader está construido exactamente así (y se está publicando como código abierto para que se pueda auditar); si necesitas un motor de reglas más potente, mira Requestly y Header Editor (en inglés).
Si necesitas un editor de cabeceras que lo reemplace
Seguirás necesitando modificar cabeceras para tus pruebas, así que la pregunta práctica es en quién confiar a partir de ahora. La lista que de verdad importa: funcionalidad pequeña y enfocada; nativo de Manifest V3; sin anuncios y sin analítica; permisos que puedas razonar; y un modelo de compartición que no pase tus configuraciones por el servidor de otro.
VibeHeader se construyó con esa especificación: sin anuncios, sin rastreo, y con compartición por enlace que codifica la configuración en el fragmento de la URL (#c=), de modo que se procesa en tu navegador y no se envía nada a ningún servidor. Además se está publicando como código abierto, para que no tengas que fiarte solo de nuestra palabra. Para conocer la historia completa y otras opciones mantenidas, lee el relato del creador (en inglés) y la comparativa de alternativas a ModHeader (en inglés).
VibeHeader: un editor de cabeceras enfocado, con compartición por enlace en un clic, sin anuncios ni analítica.
Todas las afirmaciones sobre ModHeader en esta página están atribuidas a Google, Microsoft y los investigadores enlazados arriba. Los indicadores marcados como «(según lo reportado)» proceden del artículo de HackIndex y no han sido verificados de forma independiente por nosotros.