¿El navegador se comporta de forma extraña, abre pestañas que no pediste y muestra el mensaje “administrado por tu organización”? Muy probablemente el responsable sea la extensión maliciosa NebulaNanoel (que suele reaparecer con el nombre MetaEllipel). A continuación encontrarás una guía completa—y práctica—para erradicarla de Microsoft Edge y Google Chrome en Windows 10 Home, impedir su reinstalación y reforzar la protección del sistema.
¿Qué es NebulaNanoel / MetaEllipel y por qué es tan persistente?
Se trata de un complemento catalogado como PUP/PUA (programa potencialmente no deseado) diseñado para secuestrar las búsquedas, inyectar anuncios y recopilar datos de navegación. Una vez dentro, modifica claves de directiva del registro de Windows para:
- Forzar su instalación mediante ExtensionInstallForcelist.
- Impedir la eliminación manual mostrando “administrada por tu organización”.
- Restaurarse automáticamente después de cada reinicio del navegador.
El vector de ataque más común son instaladores de software pirata, «actualizadores de controladores» falsos o paquetes empaquetados con publicidad agresiva.
Síntomas más habituales
- El icono de la extensión aparece en Edge/Chrome con nombres que cambian (NebulaNanoel, MetaEllipel, Optimize Search, etc.).
- Redirecciones repentinas a dominios desconocidos al abrir una pestaña nueva.
- Publicidad emergente o banners sobre el contenido legítimo.
- Aviso en la página
edge://policyochrome://policyindicando políticas activas. - Imposibilidad de desinstalar la extensión desde
edge://extensionsochrome://extensions.
Por qué Edge o Chrome dicen “administrado por tu organización”
Los navegadores Chromium respetan directivas almacenadas en el registro. Si una clave existe en HKLM\SOFTWARE\Policies o HKCU\SOFTWARE\Policies, el navegador asume que esas reglas provienen de un administrador corporativo. El malware se aprovecha de esta característica para asegurarse de que la extensión se instale y se mantenga activa sin pedir permiso:
HKLM\SOFTWARE\Policies\Google\Chrome
└─ ExtensionInstallForcelist
1 = <em>IDdeladdon;https://clients2.google.com/service/update2/crx</em>
Mientras esas claves existan, el complemento “regresa” aun después de borrarlo manualmente.
Guía paso a paso para eliminar NebulaNanoel / MetaEllipel
| Paso | Acción | Detalles clave |
|---|---|---|
| 1. Borrar políticas del navegador | Abrir PowerShell como administrador (Win + X → Windows PowerShell (Admin)) y ejecutar: reg delete HKCU\SOFTWARE\Policies\Microsoft\Edge /f reg delete HKLM\SOFTWARE\Policies\Microsoft\Edge /f reg delete HKCU\SOFTWARE\Policies\Google\Chrome /f reg delete HKLM\SOFTWARE\Policies\Google\Chrome /f | Elimina cualquier ExtensionInstallForcelist o Allowlist. Cierra y vuelve a abrir el navegador para que se apliquen los cambios. |
| 2. Analizar y limpiar malware | Ejecutar Microsoft Safety Scanner hasta que el informe quede limpio. Instalar Malwarebytes Free, realizar un análisis completo y eliminar todo lo detectado. (Opcional) Pasar ESET Online Scanner como segunda opinión. | Estas utilidades detectan troyanos que recrean las políticas. No reinicies hasta completar las limpiezas para evitar que los archivos sigan bloqueados. |
| 3. Diagnóstico avanzado si la extensión regresa | Descargar Farbar Recovery Scan Tool (FRST), generar FRST.txt y Addition.txt. Examina: Entradas de inicio (Run, RunOnce, Scheduled Tasks). Servicios sospechosos. Bibliotecas DLL con nombres aleatorios. Eliminar las líneas peligrosas mediante un fixlist o pide ayuda especializada si no estás seguro. | FRST permite ver procesos y claves invisibles para el Administrador de tareas; es ideal contra adware persistente. |
| 4. Verificar políticas y exclusiones | Abre edge://policy y chrome://policy; confirma que estén vacíos. En Seguridad de Windows → Protección contra virus y amenazas → Administrar configuración → Exclusiones, borra cualquier ruta extraña. Para listarlas desde PowerShell: Get-MpPreference | fl Exclusion* | Las exclusiones maliciosas permiten que el aventurero se reinstale sin que Defender intervenga. |
| 5. Restablecer o reinstalar el navegador (opcional) | Edge: Configuración → Restablecer configuración → Restaurar valores predeterminados. Chrome: Desinstalar desde “Aplicaciones y características”, marcar “Eliminar datos de navegación” y reinstalar desde la página oficial. | Útil si la configuración del perfil quedó dañada o si la extensión modificó ajustes internos. |
Explicación detallada de cada paso
Por qué eliminar las claves de directiva primero
Borrar las políticas se coloca al inicio porque todas las acciones posteriores (desinstalar extensiones, limpiar cachés, restablecer navegadores) resultan inútiles si la directiva sigue activa. Basta con reiniciar Edge o Chrome para que el componente se reinstale de inmediato.
Herramientas recomendadas de análisis
Microsoft Safety Scanner aprovecha el motor de Defender, pero con definiciones actualizadas varias veces al día. No requiere instalación y es ideal para entornos donde no se desea añadir software permanente.
Malwarebytes Free sobresale detectando PUP/PUA gracias a su base de firmas y heurísticas específicas para adware. Desactiva la versión de prueba Premium si solo quieres un escaneo puntual.
ESET Online Scanner puede tardar, pero es muy eficaz detectando rootkits y componentes escondidos en la carpeta WinSxS o el registro de eventos.
Cuándo usar FRST
Si los escáneres encuentran amenazas pero el problema persiste tras reiniciar, probablemente existe un ejecutable programado o un servicio fantasma. FRST extrae la lista completa de componentes de inicio, complementada con hashes VirusTotal para que puedas ver rápidamente si algún archivo es malicioso.
Restablecer navegadores: pros y contras
- Ventaja: borra flags experimentales, paquetes de idioma alterados y perfiles dañados.
- Desventaja: pierdes historial local, cookies y ajustes personalizados (a menos que sincronicen en la nube).
Preguntas frecuentes (FAQ)
¿Puedo simplemente desactivar la extensión?
No. Mientras las políticas existan, el botón “Eliminar” aparece atenuado. Además, el componente no autorizado seguirá ejecutando código en segundo plano.
¿Por qué Windows Defender no lo detectó?
Muchas extensiones maliciosas se clasifican como PUP, y la protección contra PUP viene desactivada por defecto en algunas ediciones. Actívala en Protección basada en reputación.
¿La reinstalación de Windows es necesaria?
Casi nunca. La combinación de limpieza de políticas, escáneres reputados y revisión de tareas programadas suele bastar.
¿Funciona en Windows 11?
Sí, los pasos son idénticos; cambia la ruta de algunas opciones de configuración pero las claves de registro y comandos son los mismos.
Buenas prácticas para evitar reinfecciones
- Descarga software solo de los sitios oficiales. Los empaquetadores de terceros (falsos instaladores de codecs, supuestos optimizadores de RAM) son la causa nº1 de adware.
- Activa la reputación SmartScreen (Windows Defender → Control de apps y navegador) para bloquear descargas maliciosas.
- Revisa extensiones cada mes. Pocas personas requieren más de cinco complementos activos; elimina los que no uses.
- Utiliza una cuenta estándar para el día a día y reserva la cuenta de administrador solo para instalaciones legítimas.
- Mantén Windows y los navegadores siempre actualizados. Los parches corrigen exploits que podrían omitir controles de seguridad.
Conclusión
NebulaNanoel / MetaEllipel se aprovecha de la misma característica corporativa que facilita la gestión masiva de extensiones en entornos empresariales. Por suerte, el procedimiento para recuperar el control es claro: eliminar las políticas, limpiar el malware y sellar los huecos de seguridad. Sigue la guía paso a paso y tu Edge o Chrome volverá a estar libre de la molesta etiqueta “administrado por tu organización”, funcionando con la velocidad y privacidad que esperas.