Blog · Aviso de seguridad · Actualizado el 14 de julio de 2026

Cómo eliminar el malware de ModHeader y limpiar lo que dejó atrás

A principios de julio de 2026, Google marcó ModHeader v7.0.18 como malware y Microsoft lo retiró de la tienda de Edge, después de que los investigadores reportaran que incluía un SDK oculto de recolección de datos. Esta es una lista de limpieza práctica y sin alarmismos: confirma si estás afectado, elimínalo, borra los restos en Mac y Windows y protege lo que haya podido tocar.

Esta guía está escrita para serte útil tanto si acabas usando VibeHeader como si no. Todo lo que se dice aquí sobre ModHeader está atribuido a Google, Microsoft y los investigadores independientes enlazados en las fuentes: nada es análisis nuestro. Si Chrome o Edge ya te han desactivado la extensión, es buena señal de que la limpieza de abajo va contigo.

¿Tienes prisa? Lo esencial son cuatro pasos, en este orden (los detalles, más abajo):

  1. Elimina la extensión de Chrome y Edge.
  2. Borra sus carpetas de almacenamiento residuales en Mac o Windows.
  3. Bloquea api.stanfordstudies.com en tu DNS o archivo hosts.
  4. Rota todas las credenciales que hayas pegado en la extensión.

Qué pasó (la versión de 60 segundos)

Si todavía tienes ModHeader instalado, la recomendación generalizada es eliminarlo. Así se hace una limpieza a fondo.

Paso 1 — Confirma si estás afectado

Abre chrome://extensions (y edge://extensions si usas Edge) y activa el modo de desarrollador para que se muestren los números de versión.

Si la revisión de seguridad de Chrome ya te muestra «Esta extensión contiene malware», estás en el sitio correcto: no te limites a cerrar el aviso, completa toda la limpieza de abajo. El aviso real tiene este aspecto:

La revisión de seguridad de extensiones de Chrome marcando 'ModHeader - Modify HTTP headers' con 'Esta extensión contiene malware' y recomendando eliminarla
La revisión de seguridad de Chrome marcando ModHeader como malware y recomendando eliminarlo.

Paso 2 — Elimina la extensión (Chrome y Edge)

  1. Ve a chrome://extensions → localiza ModHeader → pulsa Quitar → confirma. Repite en edge://extensions.
  2. Si el navegador ya la desactivó, déjala desactivada y pulsa Quitar igualmente: desactivarla solo impide que se ejecute, pero no borra sus datos en caché.
  3. Hazlo en cada perfil del navegador donde la tuvieras instalada (cada perfil de Chrome es independiente).

Paso 3 — Borra los datos locales residuales

Desinstalar suele limpiar la mayor parte, pero los datos en caché de la extensión —que según los investigadores podían superar con creces los 100 MB de cabeceras de petición/respuesta almacenadas, con posibles tokens y cookies— a veces se quedan atrás. Para ir sobre seguro, borra las carpetas siguientes que aún existan. Sustituye Default por tu carpeta de perfil real (revisa también Profile 1, Profile 2, …).

macOS

Dentro de ~/Library/Application Support/Google/Chrome/ (y el equivalente de Edge bajo Microsoft Edge):

Windows

Dentro de %LOCALAPPDATA%\Google\Chrome\User Data\ (Edge: %LOCALAPPDATA%\Microsoft\Edge\User Data\):

Cierra el navegador por completo antes de borrar estas carpetas; si no, los archivos pueden estar bloqueados.

💡 Consejo: encárgale el barrido a un agente de código. Si usas un coding agent como Claude Code o Codex, pégale la URL de esta guía (o la lista de carpetas de arriba) y pídele que localice y elimine los directorios residuales de ModHeader en todos tus perfiles del navegador; es especialmente útil cuando tienes varios perfiles y te preocupa dejarte alguno. Dos precauciones: cierra antes el navegador por completo, y pídele que primero liste lo que encontró y espere tu confirmación antes de borrar nada.

Paso 4 — Bloquea el dominio de exfiltración

Bloquea el recolector y deja registro, para que nada pueda alcanzarlo ni siquiera desde alguna copia en caché suelta:

Paso 5 — Rota todo lo sensible que le hayas dado

Como la extensión podía leer y almacenar las cabeceras que pasaban por tu navegador, trata como potencialmente expuesto todo lo que solías pegar en ella y vuelve a emitirlo:

Es una medida preventiva, dado el estado inactivo reportado; pero rotar un token es un seguro barato comparado con dar por hecho que no pasó nada.

Indicadores de compromiso (para equipos de seguridad / IT)

Busca lo siguiente en los endpoints gestionados. Los indicadores mejor corroborados son el ID de la extensión, la versión, el endpoint de exfiltración y el nombre de archivo camuflado; los marcados como (según lo reportado) proceden del análisis original de ingeniería inversa y se incluyen por exhaustividad.

TipoIndicador
ID de la extensiónidgpnmonknjnojddfkpgkljpfnnfcklj
Versión7.0.18
Red (exfiltración)POST saliente hacia api.stanfordstudies.com/app/log
Dominioapi.stanfordstudies.com, stanfordstudies.com
Archivo camufladodayjs.min-*.js (SDK de recolección de datos)
Archivo relacionado (según lo reportado)background-94ad634d.js
Clave AES incrustada (según lo reportado)aWfU3yG_wksZaQdSnxPJBOId0cAN8KK/UIlZbli7-bE
Sal de fingerprint (según lo reportado)mod盐header

Comportamiento reportado: recolección solo de dominios (sin URL completas, sin valores de cookies, sin contraseñas), cifrado AES-GCM, una subida en lote al día con planificación aleatoria por dispositivo, y sin ejecución remota de código ni carga de scripts externos.

Preguntas frecuentes

¿De verdad robaron mis datos de navegación?

Según los investigadores que analizaron la build 7.0.18, el recolector se distribuyó inactivo tras una lista de permitidos vacía, así que en su entorno de pruebas no se envió nada. Pero el endpoint, la clave y el planificador estaban presentes, y una actualización posterior podía activarlo. Trátalo como un riesgo real de exposición, no como una filtración confirmada: elimínalo, borra sus datos y rota las credenciales que hayas pegado en él.

Chrome ya lo desactivó, ¿he terminado?

Todavía no. Desactivarlo impide que se ejecute, pero no borra sus datos en caché local (que según lo reportado podían superar con creces los 100 MB de cabeceras, tokens y cookies almacenados). Elimínalo por completo y borra las carpetas residuales del paso 3.

¿Qué versión estaba afectada?

Los investigadores atribuyeron el SDK oculto a la build 7.0.18 (ID idgpnmonknjnojddfkpgkljpfnnfcklj). A principios de julio de 2026, Google lo marcó y desactivó, y Microsoft lo retiró de Edge.

¿Qué uso en su lugar?

Elige con estos criterios: ligero, nativo de MV3, sin anuncios, sin analítica y con permisos que se entiendan de un vistazo. VibeHeader está construido exactamente así (y se está publicando como código abierto para que se pueda auditar); si necesitas un motor de reglas más potente, mira Requestly y Header Editor (en inglés).

Si necesitas un editor de cabeceras que lo reemplace

Seguirás necesitando modificar cabeceras para tus pruebas, así que la pregunta práctica es en quién confiar a partir de ahora. La lista que de verdad importa: funcionalidad pequeña y enfocada; nativo de Manifest V3; sin anuncios y sin analítica; permisos que puedas razonar; y un modelo de compartición que no pase tus configuraciones por el servidor de otro.

VibeHeader se construyó con esa especificación: sin anuncios, sin rastreo, y con compartición por enlace que codifica la configuración en el fragmento de la URL (#c=), de modo que se procesa en tu navegador y no se envía nada a ningún servidor. Además se está publicando como código abierto, para que no tengas que fiarte solo de nuestra palabra. Para conocer la historia completa y otras opciones mantenidas, lee el relato del creador (en inglés) y la comparativa de alternativas a ModHeader (en inglés).

Interfaz de la extensión VibeHeader: una lista limpia de reglas de cabeceras HTTP con botón para compartir por enlace, sin anuncios
VibeHeader: un editor de cabeceras enfocado, con compartición por enlace en un clic, sin anuncios ni analítica.

Sin presión: el objetivo de esta página es que limpies los restos de forma segura, cambies a lo que cambies.

Fuentes

Todas las afirmaciones sobre ModHeader en esta página están atribuidas a Google, Microsoft y los investigadores enlazados arriba. Los indicadores marcados como «(según lo reportado)» proceden del artículo de HackIndex y no han sido verificados de forma independiente por nosotros.