La extensión nunca ve tu contraseña. Solo envía una pista de navegación
(una letra) por el serie USB y enfoca un campo. La credencial la teclea el
dispositivo por USB HID, y solo después de que tú selecciones físicamente el
sitio y pulses. Ver Modelo de seguridad abajo.
Qué hace
Al pulsar el icono de la barra en una página de login:Lee la pestaña
Toma la URL actual, quita el esquema y un
www. inicial, y usa la primera
letra del dominio.Salta la búsqueda del dispositivo
Envía
FIND <letra> por el puerto serie USB CDC; el dispositivo cambia a su
búsqueda alfabética en esa letra.Requisitos
- Un navegador Chromium (Chrome, Edge, Brave…) — la extensión usa la API Web Serial.
- El dispositivo con el firmware que incluye la función, y
Herramientas →
Chrome: On(activado por defecto). - El dispositivo desbloqueado (pasado el PIN) y en la lista de credenciales al usarlo — el firmware ignora el comando en caso contrario.
Instalación
Carga la extensión
Abre
chrome://extensions, activa Modo desarrollador, elige Cargar
descomprimida y selecciona la carpeta chrome-extension/ del proyecto.Desactivarlo
Si no quieres que el dispositivo acepte el comando del navegador en absoluto, pon Menú → Herramientas →Chrome: Off. Con él apagado, el firmware ni
siquiera parsea el comando FIND, eliminando esa vía por completo. Por defecto
está On.
Modelo de seguridad
La extensión solo: lee la URL de la pestaña, envía una letra al dispositivo y enfoca un campo. Esa es toda la superficie de ataque. El firmware garantiza:- El comando solo navega — deliberadamente no hay ningún comando serie que teclee o revele una credencial.
- Se ignora salvo que la bóveda esté desbloqueada y en la lista de credenciales (nunca durante el PIN, una edición, el menú o TOTP).
- Se ignora del todo cuando Herramientas → Chrome está en off.
Limitaciones
- La detección del campo usa heurísticas (
autocomplete=username,type=email, name/id que contenga user/email/login, o el input de texto en un formulario con campo de contraseña). Algunas SPA, shadow DOM e iframes de otro origen no coinciden. - Los sitios que separan usuario y contraseña en pantallas distintas (algunos flujos de Google/Microsoft) no encajan con la salida usuario → TAB → contraseña del dispositivo.