Eliminar Secuestrador de Navegador (Windows 11, 2026)
Respuesta breve: Abre chrome://policy. Si ves entradas como DefaultSearchProviderEnabled o ExtensionInstallForcelist que nunca configuraste, un secuestrador inyectó políticas empresariales de Chrome en tu registro — por eso restablecer la página de inicio no hace nada y reinstalar Chrome no ayuda. La solución es eliminar esas claves de política del registro, borrar la tarea del Programador de tareas que las vuelve a agregar, y restablecer el DNS, no reinstalar el navegador.
Abre chrome://policy en tu barra de direcciones. Si ves entradas como DefaultSearchProviderEnabled, HomepageLocation, o ExtensionInstallForcelist — esas no son tus configuraciones. Un secuestrador de navegador inyectó políticas empresariales de Chrome en tu Registro de Windows, y por eso cambiar tu página de inicio o motor de búsqueda de vuelta no hace nada. Las configuraciones están grises porque el secuestrador está usando las propias funciones de administración de Chrome en tu contra. Puedes reinstalar Chrome, borrar todos los datos de navegación, incluso restablecer el navegador de fábrica — el secuestrador sobrevive todo porque la política vive en el registro, no en la carpeta de datos de Chrome.
Los nombres que limpiamos más seguido ahora son Bangsearch.pro, Yglsearch, ActiveSearchBar, Qltuh, CelestialQuasaror y MegaGuard. Variantes nuevas aparecen cada par de semanas porque la infraestructura es fácil de clonar. El Internet Observatory de Stanford reportó más de 280 millones de descargas de extensiones maliciosas de navegador en 2025, y un solo incidente en julio comprometió 2.3 millones de usuarios de Chrome y Edge. Esas son solo las basadas en extensiones — no cuenta las que vienen empaquetadas con instaladores de software gratis.
Mata la Política Primero
Este es el paso que la mayoría de guías en línea se saltan o entierran al final. Abre el Editor del Registro — Win+R, escribe regedit, Enter. Navega a estas ubicaciones y elimina la carpeta Chrome bajo cada una:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome — elimina la carpeta Chrome completa si no estás en una computadora de trabajo administrada.
HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome — lo mismo.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update — algunos secuestradores establecen políticas de actualización aquí para evitar que Chrome se auto-actualice, lo que de otra forma eliminaría el secuestrador cuando Google actualiza su lista de bloqueo de extensiones maliciosas.
Para Edge: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge y el equivalente en HKCU.
Reinicia Chrome. El banner “Tu navegador está administrado por tu organización” debería desaparecer y tus configuraciones de página de inicio y motor de búsqueda se vuelven editables de nuevo. Si el banner vuelve después de un reinicio, tienes un mecanismo de persistencia reinstalando la política — sigue leyendo.
Extensiones y Programador de Tareas
Ve a chrome://extensions, activa el Modo de desarrollador (interruptor arriba a la derecha), y elimina todo lo que no instalaste deliberadamente desde la Chrome Web Store. No solo deshabilites — haz clic en Eliminar. Las extensiones secuestradoras deshabilitadas pueden rehabilitarse a través de tareas programadas. Cualquier cosa con “PDF,” “Helper,” “Safe Search,” “Web Protection,” o “Enhanced Search” en el nombre que no reconozcas es sospechosa. Stanford encontró que las extensiones secuestradoras sobreviven en la Web Store un promedio de 380 días antes de ser detectadas, así que pudo haber parecido legítima cuando la instalaste hace meses.
Si el botón Eliminar de una extensión está gris, no terminaste la limpieza del registro de arriba — la política la está instalando forzosamente. Regresa y asegúrate de que eliminaste esas claves del registro.
Ahora abre el Programador de tareas — Win+R, taskschd.msc. Aquí es donde la mayoría de los intentos de eliminación por cuenta propia fallan y por qué el secuestrador sigue volviendo después de que la gente piensa que lo limpió. Las tareas secuestradoras usan nombres diseñados para parecer inofensivos: “ChromeUpdate,” “BrowserMaintenance,” “SystemHealthCheck,” a veces cadenas aleatorias. Haz clic en cada entrada sospechosa y revisa la pestaña Acciones. Si la acción ejecuta un script de PowerShell, un archivo .bat desde un directorio Temp, o un .exe desde una carpeta AppData, ese es tu mecanismo de persistencia. He visto una llamada “MicrosoftEdgeUpdateTask” — lo suficientemente parecida a una tarea real de Edge que la mayoría se la salta. Elimínala. También revisa la pestaña Inicio del Administrador de Tareas — entradas sin publicador o apuntando a ejecutables en AppData\Local\Temp casi nunca son legítimas.
Un último escondite que nadie revisa: C:\Windows\System32\drivers\etc\hosts. Ábrelo con el Bloc de notas como administrador. Un archivo hosts limpio es mayormente comentarios (líneas que empiezan con #). Si ves google.com, bing.com, o cualquier dominio legítimo mapeado a direcciones IP aleatorias, eso es secuestro del archivo hosts — el truco más viejo del libro y sigue siendo efectivo porque nadie mira ahí.
Restablecer y Escanear
Una vez que la persistencia se fue, restablece el navegador. Chrome: Configuración, Restablecer configuración, “Restaurar la configuración a sus valores predeterminados originales.” Firefox: escribe about:support, haz clic en “Restablecer Firefox” — esto es más agresivo, crea un perfil completamente nuevo, que es exactamente lo que quieres. Los marcadores y contraseñas guardadas sobreviven ambos.
Ejecuta un escaneo completo de Windows Defender — Configuración, Privacidad y seguridad, Seguridad de Windows, Protección contra virus y amenazas, Examen completo. Luego Malwarebytes Free para una segunda opinión — detecta PUPs que la configuración predeterminada de Defender a veces ignora. Nuestra guía completa de eliminación de malware cubre la técnica de escaneo en Modo seguro para infecciones más profundas.
Revisa también tu configuración de DNS. Algunos secuestradores no tocan el navegador para nada — cambian tu DNS para que todo el tráfico web se redirija a través de sus servidores. Símbolo del sistema, ipconfig /all, busca la línea Servidores DNS para tu adaptador activo. Debería ser la IP de tu router, tu ISP, o un DNS público que tú configuraste. ¿Direcciones desconocidas que nunca configuraste? Cámbialas a 8.8.8.8 y 1.1.1.1. Nuestra guía de DNS cubre el diagnóstico completo si sospechas manipulación a nivel de DNS. También entra a tu router (192.168.1.1 o 192.168.0.1) y revisa el DNS ahí — algunos malware que obtienen acceso al router cambian el DNS a nivel del router, afectando cada dispositivo en la red.
Después de eliminar un secuestrador, cambia las contraseñas de cualquier cuenta en la que iniciaste sesión mientras estaba activo. Las extensiones secuestradoras con permisos amplios pueden leer todo lo que escribes en formularios web. Instala uBlock Origin para bloquear las cadenas de malvertising que distribuyen secuestradores en primer lugar. Para descargas de software, usa sitios oficiales o Ninite.com, y lee cada pantalla durante los asistentes de instalación — desmarca “Instalar extensión de navegador recomendada” y “Establecer como motor de búsqueda predeterminado,” que vienen marcados por defecto. Si el secuestrador sigue volviendo después de todo esto, podemos encontrar el mecanismo de persistencia remotamente — la sesión promedio toma unos 20 minutos porque sabemos exactamente dónde buscar.
Preguntas Frecuentes
¿Por qué mi secuestrador de navegador sigue volviendo después de eliminarlo?
El secuestrador visible (página de inicio cambiada, extensión maliciosa) es solo el síntoma. La infección real es un mecanismo de persistencia — usualmente una Tarea programada de Windows o entrada de inicio que monitorea la eliminación y reinstala todo automáticamente. Revisa el Programador de tareas buscando tareas sospechosas como 'ChromeUpdate' o 'BrowserMaintenance' que ejecutan scripts de PowerShell o ejecutables desde carpetas AppData. Elimina esas tareas para detener el ciclo.
¿Qué significa 'Tu navegador está administrado por tu organización' en una computadora personal?
Significa que un malware inyectó una política empresarial de Chrome en tu Registro de Windows que bloquea tu motor de búsqueda y configuración de página de inicio. No puedes arreglarlo desde Chrome — necesitas abrir el Editor del Registro (regedit) y eliminar las entradas en HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome y HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome. Reinicia Chrome después.
¿Cómo elimino un secuestrador de navegador que no me deja desinstalar la extensión?
Si el botón Eliminar está gris en una extensión de Chrome, una política de Chrome la está forzando. Primero elimina la política del Registro de Windows (ver la sección 'Administrado por tu organización'), luego reinicia Chrome. El botón Eliminar de la extensión se volverá clickeable de nuevo. Si aún no se elimina, prueba la opción Restablecer configuración de Chrome para desactivar todas las extensiones a la vez.
¿Puede un secuestrador de navegador robar mis contraseñas?
Sí. Extensiones secuestradoras con permisos amplios pueden leer todo lo que escribes en formularios web, incluyendo contraseñas y números de tarjeta de crédito. Algunos interceptan consultas de búsqueda y te redirigen a sitios falsos que imitan los reales. Después de eliminar un secuestrador, cambia las contraseñas de cualquier cuenta en la que iniciaste sesión mientras el secuestrador estaba activo — especialmente banca, correo electrónico y redes sociales.
¿Cuáles son los secuestradores de navegador más comunes en 2026?
Los nombres que vemos más en RebootDoctor ahora son Bangsearch.pro, Yglsearch, ActiveSearchBar, Qltuh, CelestialQuasaror y MegaGuard. Variantes nuevas aparecen cada pocas semanas porque la infraestructura es fácil de clonar. El secuestrador basado en políticas 'Administrado por tu organización' es el tipo más persistente — sobrevive reinstalaciones del navegador y limpieza de datos.