¿Tu navegador muestra “Your Search Bar” como “Administrado por tu organización” y te redirige a Bing? En esta guía exhaustiva aprenderás a erradicar por completo este secuestrador de Chrome y Edge, limpiar políticas maliciosas y blindar de nuevo tu sistema.
¿Qué es “Your Search Bar” y por qué aparece como “Administrado por tu organización”?
“Your Search Bar” es un hijacker que inyecta una extensión forzada mediante directivas de grupo (policies) grabadas en el Registro. El mensaje “Administrado por tu organización” no significa que pertenezcas a un dominio corporativo, sino que el navegador detecta políticas locales que bloquean la eliminación de la extensión. El objetivo del malware es:
- Redirigir búsquedas y mostrar anuncios intrusivos para lucrarse con clics.
- Registrar historiales de navegación y datos de formularios.
- Reinstalarse tras cada intento de limpieza mediante políticas persistentes.
Señales de infección
- La URL
yoursearchbar*aparece fugazmente antes de cargar Bing u otro buscador. - La extensión Your Search Bar figura en
chrome://extensionsoedge://extensions; el botón Quitar está deshabilitado. - En
chrome://policyoedge://policyves políticas aplicadas aunque estés en un PC doméstico. - Procesos o servicios desconocidos arrancan con Windows (tareas programadas, carpetas en
%APPDATA%).
Desmontando el secuestro: solución paso a paso
Sigue cada etapa en orden. No avances hasta que la anterior esté completa y verificada.
| Paso | Acción | Detalles clave |
|---|---|---|
| 1. Escaneo profundo sin conexión | Ejecuta Windows Defender Offline:Start-MpWDOScan en PowerShell (Administrador). | El sistema se reinicia antes de cargar Windows y detecta malware oculto en memoria. Asegúrate de tener batería suficiente si usas portátil. |
| 2. Desactivar la reinstalación automática | Cierra el navegador. Abre Regedit y navega a: HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelistHKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelistEn Edge, sustituye Google\Chrome por Microsoft\Edge.Elimina los valores numéricos (p. ej. “1”) o la clave entera. | Antes de tocar el Registro, crea un punto de restauración: Panel de control → Sistema → Protección del sistema. Si tu Windows es de 64 bits, revisa ambas rutas (normal y WOW6432Node). |
| 3. Borrar la extensión en disco | En el Explorador abre:%LOCALAPPDATA%\Google\Chrome\User Data\Default\ExtensionsElimina la carpeta cuyo nombre coincide con el ID (ej. dafkaabahcikblhbogbnbjodajmhbini). Repite en cada perfil (Profile 1, Profile 2…). | Si Edge está afectado, la ruta cambia a%LOCALAPPDATA%\Microsoft\Edge\User Data. Borra sólo la carpeta idéntica al ID; no elimines otras extensiones legítimas. |
| 4. Limpiar residuos y tareas programadas | Descarga y ejecuta Malwarebytes AdwCleaner (última versión). Abre Task Scheduler y Servicios; borra entradas sospechosas con rutas en AppData\Roaming u Temp vinculadas a YourSearchBar.Desinstala programas instalados el mismo día que apareció el problema. | Si detectas ejecutables rebeldes en %PROGRAMDATA% o %APPDATA%, súbelos a VirusTotal antes de borrarlos. A veces un instalador “bundle” deja más de un payload. |
| 5. Comprobar navegadores | Abre Chrome/Edge y escribe:chrome://policy oedge://policy. | Debe mostrarse “No policies set”. Si persisten, repite los pasos 2‑3 y revisa la rama HKCU\SOFTWARE\Policies\... (políticas por usuario). |
| 6. Medidas preventivas | • Habilita “Protección basada en reputación” en Seguridad de Windows → Control de aplicaciones y navegador. * Mantén Windows y los navegadores actualizados. * Descarga extensiones sólo de las tiendas oficiales; evita packs “todo en uno”. * Considera usar una cuenta estándar para la navegación diaria. | La protección basada en reputación bloquea descargas poco frecuentes o con baja puntuación comunitaria. |
| 7. Último recurso | Si el malware resiste o el sistema se vuelve inestable: * Restaurar sistema a un punto anterior. * Reinstalación limpia de Windows (opción “Restablecer este PC” conservando archivos o borrándolo todo). | Tras reinstalar, actualiza Windows, instala un antivirus reputado y restaura documentos desde copia segura, no desde las carpetas originales. |
Guía visual del Registro: rutas donde puede ocultarse la policy
Para los más meticulosos, estos son los contenedores habituales (32 y 64 bits):
HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelistHKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelistHKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelistHKCU\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelistHKCU\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
Cada valor REG_SZ usa el formato:
1 = ID_Extensión;https://clients2.google.com/service/update2/crx
Eliminando estos valores anulas la instalación forzada. No olvides comprobar permisos: algunos malware ajustan ACLs para impedir la edición. En ese caso, toma posesión de la clave (clic derecho → Permisos).
Limpieza a fondo de tareas programadas
Abre Task Scheduler (taskschd.msc) y examina:
- Task Scheduler Library → Microsoft → Windows → Update
- Task Scheduler Library → BrowserUpdate
- Task Scheduler Library → YourSearchBar (o nombres aleatorios)
El malware suele camuflarse con nombres genéricos como “Google Update Task #1” pero ejecuta EXEs en %APPDATA%. Revisa la columna Acción → Programa o script; si apunta a una ruta inusual, elimínala.
Refuerzo de seguridad post‑desinfección
- Activa el bloqueo de extensiones instaladas fuera de la Store: en Chrome, ve a chrome://flags y habilita “Block external extensions”.
- Perfil de trabajo separado: usa un perfil sin sincronización para tareas bancarias o compras.
- Copias de seguridad: configura Historial de archivos o OneDrive para restaurar documentos sin depender de la instalación actual.
- VPN reputada: reduce intercepción de tráfico DNS y HTTPS por redes inseguras.
Preguntas frecuentes
¿Puedo usar un antivirus de terceros en lugar de Windows Defender Offline?
Sí; herramientas como ESET Online Scanner o Kaspersky Rescue Disk son eficaces. Sin embargo, Defender Offline está integrado y se actualiza con Windows Update, por lo que es la opción más rápida.
¿Restablecer Chrome o Edge basta para quitar la extensión?
No. El restablecimiento borra la configuración de usuario, pero la extensión se reinstalará al reiniciar si la directiva persiste. Primero elimina las policies.
¿Qué pasa si borro la carpeta de la extensión sin tocar el Registro?
El navegador la descargará de nuevo porque la clave ExtensionInstallForcelist obliga a ello. Borra ambos: carpeta e ID en el Registro.
¿Cómo evito futuros hijackers cuando instalo software freeware?
Lee cada pantalla del asistente, desmarca casillas de “ofertas” y descarga sólo del sitio oficial. Considera usar Ninite o gestores de paquetes como Winget, que ignoran adware.
Conclusión
“Your Search Bar” se aprovecha de las directivas de grupo para blindarse. La clave es romper el círculo: neutralizar el ejecutable, limpiar el Registro y garantizar que ninguna tarea programada lo reviva. Con los pasos anteriores recuperarás el control de tu navegador y reforzarás tu equipo contra futuras amenazas.