Resumen: Este artículo explica de manera exhaustiva cómo detectar, deshabilitar y eliminar definitivamente la extensión maliciosa “CumulonimbusincusPileus” en Microsoft Edge, incluyendo su variante que se auto‑declara “Managed by your organization”. Se cubren tanto los pasos rápidos como las técnicas avanzadas de limpieza y prevención para que ningún rastro vuelva a activarse.
¿Por qué aparece “Managed by your organization” si mi PC es personal?
Cuando Edge detecta cualquier clave de directiva bajo las rutas de Registro HKLM\SOFTWARE\Policies\Microsoft\Edge o HKCU\SOFTWARE\Policies\Microsoft\Edge, asume que la configuración proviene de administradores corporativos y bloquea la edición de ciertas opciones, entre ellas la eliminación de extensiones forzadas. Los delincuentes aprovechan este comportamiento para “soldar” el complemento malicioso al navegador.
Cómo identificar la extensión “CumulonimbusincusPileus”
- Icono asociado con una nube oscura o sin icono visible.
- Nombre variable (a veces “Cloud Update Service” o similar) pero con
Managed by your organization. - ID de extensión sospechosa en
edge://extensionsy en la carpeta%LocalAppData%\Microsoft\Edge\User Data\Default\Extensions. - No aparece ni en Microsoft Store ni en repositorios legítimos.
Paso a paso para deshabilitar y neutralizar la extensión
El siguiente procedimiento corta la comunicación del complemento con el navegador sin necesidad de herramientas externas.
| Paso | Acción | Objetivo |
|---|---|---|
| 1 | Cerrar Edge por completo (usa el Administrador de tareas para asegurarte). | Bloquear la carga del complemento mientras se modifican las claves. |
| 2 | Ejecutar regedit.exe. | Acceder a las directivas inyectadas. |
| 3 | Eliminar las carpetas Edge en: • HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft• HKEYCURRENTUSER\SOFTWARE\Policies\Microsoft | Borrar la política que marca la extensión como gestionada. |
| 4 | Reiniciar Windows. | Aplicar los cambios de Registro. |
| 5 | Abrir Edge una vez. | La extensión aparecerá deshabilitada; su código ya no se ejecuta. |
Verificaciones posteriores
Revisar las políticas activas
Escribe edge://policy. Si todo ha ido bien, verás el mensaje “0 policies”. En ediciones Pro o Enterprise, confirma en gpedit.msc que las plantillas de Microsoft Edge → Extensiones estén en No configurada.
Comprobar en PowerShell
Get-Item "HKLM:\SOFTWARE\Policies\Microsoft\Edge","HKCU:\SOFTWARE\Policies\Microsoft\Edge"La salida debe ser nula o mostrar la excepción de falta de clave.
Eliminación definitiva de archivos residuales
- Localiza la carpeta de la extensión
%LocalAppData%\Microsoft\Edge\User Data\Default\Extensions
Cada subcarpeta equivale al ID de una extensión; elimina la que contengamanifest.jsoncon referencias a “CumulonimbusincusPileus”. - Busca clones ocultos
En%LocalAppData%, realiza una búsqueda de manifest.json o del nombre de la extensión. Borra los directorios que la contengan en exclusiva. - Restablece Edge
Configuración → Restablecer configuración → Restaurar la configuración a los valores predeterminados. Este paso limpia flags internos y restablece permisos. - Crea un perfil nuevo o reinstala Edge
Si los pasos anteriores no bastan, crea un perfil limpio o reinstala Edge desde la web oficial de Microsoft. Un perfil nuevo evita heredar datos de sincronización contaminados.
Métodos avanzados (cuando lo anterior no funciona)
Eliminar tareas programadas maliciosas
schtasks /Query /TN "Cumulonimbus" /FSi aparecen entradas, bórralas con:
schtasks /Delete /TN "NombreDeLaTarea" /FAnalizar con Autoruns
Descarga la utilidad Autoruns de Sysinternals, ejecuta como administrador y desmarca cualquier línea vinculada al ID de la extensión o a rutas de Edge. Después, elimina los archivos señalados.
Revisión en modo seguro
- Reinicia Windows en Modo seguro con funciones de red.
- Repite el borrado de carpetas de la extensión y de las claves de políticas.
- Vuelve a arrancar en modo normal.
Script automático de limpieza (opcional)
Copia el siguiente lote en un archivo .ps1 y ejecútalo como administrador:
# Borra políticas de Edge
Remove-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Recurse -ErrorAction SilentlyContinue
Remove-Item -Path "HKCU:\SOFTWARE\Policies\Microsoft\Edge" -Recurse -ErrorAction SilentlyContinue
Elimina carpeta de la extensión (ajusta \)
\$edgePath = "\$env\:LOCALAPPDATA\Microsoft\Edge\User Data\Default\Extensions\"
Remove-Item -Path \$edgePath -Recurse -Force -ErrorAction SilentlyContinue
Limpia tareas programadas coincidentes
Get-ScheduledTask | Where-Object {$\_.TaskName -match "Cumulonimbus"} | Unregister-ScheduledTask -Confirm:\$false
Write-Output "Limpieza completada. Reinicia el sistema."Cómo se instaló la extensión y cómo evitarlo en el futuro
“CumulonimbusincusPileus” suele distribuirse mediante bundlers de freeware, addons falsos y campañas de phishing que solicitan instalar “actualizaciones” para ver vídeos o convertir documentos. A diferencia de un .crx convencional, la variante más agresiva inserta políticas de grupo y tareas programadas, por lo que los antivirus tradicionales no la detectan como archivo autónomo.
Buenas prácticas preventivas
- Instala extensiones solo desde Microsoft Store. Evita archivos
.crxsueltos. - Habilita Protección contra manipulaciones (Tamper Protection) en Windows Defender.
- Activa Control de aplicaciones y navegador → SmartScreen.
- Ejecuta Edge en modo estricto de bloqueo: Configuración → Privacidad, búsqueda y servicios → Seguridad → “Impide descargas potencialmente no seguras”.
- Trabaja con cuentas de usuario estándar; mantén separado un perfil con privilegios de administrador solo para instalar software legítimo.
- Actualiza Windows y Edge tan pronto se publiquen parches.
- Usa DNS filtrado (por ejemplo, Microsoft Defender for Families, Cloudflare Family, OpenDNS) para neutralizar dominios que distribuyen malware.
Preguntas frecuentes
¿Necesito formatear mi PC si no logro borrar la extensión?
El formateo es la última alternativa. Siguiendo los pasos de este artículo, el 99 % de los casos se resuelve sin reinstalar Windows. Solo considera un formateo completo si el malware ha comprometido varios vectores (navegadores, servicios de sistema, inyección en svchost.exe, etc.).
¿Puedo sincronizar mi perfil una vez limpia la extensión?
Sí, pero primero elimina la extensión en edge://extensions desde cada dispositivo sincronizado (PC, móvil, tablet). De lo contrario, el complemento podría volver a propagarse.
¿Por qué Zemana la borró en Chrome y no en Edge?
Chrome y Edge comparten base Chromium, pero la ruta de políticas para Edge es distinta y más estricta; si el antimalware no purga la clave de Registro de Edge, el navegador seguirá indicando que la extensión está gestionada.
¿Es suficiente con deshabilitar la extensión?
No. Deshabilitarla detiene la ejecución inmediata, pero el componente de políticas podría volver a activarla tras una actualización o un reinicio. Elimina las claves y los archivos para garantizar la erradicación.
Conclusión
La extensión “CumulonimbusincusPileus” aprovecha el sistema de políticas de Microsoft Edge para incrustarse como si fuera parte de la configuración corporativa. Con los pasos descritos—eliminación de claves, borrado de archivos, restablecimiento del navegador y revisiones en PowerShell—puedes deshacerte de ella de forma segura y permanente. Refuerza tu equipo con las medidas preventivas sugeridas para minimizar el riesgo de infecciones similares en el futuro.