Por Canuto  

Un informe y pruebas independientes reavivaron las alarmas sobre privacidad en LinkedIn, luego de que saliera a la luz un script capaz de detectar más de 6.000 extensiones de Chrome y recopilar datos del dispositivo. La empresa defiende la práctica como una medida de seguridad, pero el caso vuelve a poner bajo la lupa hasta dónde pueden llegar las grandes plataformas para vigilar la actividad de sus usuarios.
***

  • Un reporte conocido como BrowserGate acusa a LinkedIn de escanear más de 6.000 extensiones instaladas en navegadores Chromium.
  • Pruebas independientes observaron un script que detectó 6.236 extensiones y recopiló datos del navegador y del dispositivo.
  • LinkedIn no negó la detección de extensiones y aseguró que la usa para proteger la plataforma frente a scraping y abusos.

La discusión sobre los límites de la vigilancia digital dentro de grandes plataformas sumó un nuevo capítulo esta semana. LinkedIn, la red profesional propiedad de Microsoft, quedó en el centro de la controversia tras la publicación de un informe que sostiene que el sitio ejecuta scripts ocultos para inspeccionar los navegadores de sus visitantes en busca de extensiones instaladas.

El caso es relevante porque no se trata solo de telemetría técnica o de herramientas antiabuso. La plataforma opera con identidades reales, empresas, cargos y relaciones laborales, por lo que cualquier señal adicional obtenida desde el navegador puede adquirir un valor comercial o estratégico mucho mayor que en otras redes sociales.

Según la investigación, el script de LinkedIn no solo busca extensiones relacionadas con scraping o automatización. También detecta miles de complementos de distinta naturaleza, incluyendo herramientas de idioma y gramática, utilidades para profesionales fiscales y soluciones ligadas a ventas, prospección y productividad.

El reporte original fue divulgado por Fairlinked e.V., una asociación que se presenta como grupo de usuarios empresariales de LinkedIn. Allí se afirma que Microsoft inyecta JavaScript en las sesiones de los usuarios para revisar miles de extensiones del navegador y vincular los resultados a perfiles identificables dentro de la plataforma.

De acuerdo con ese documento, una de las preocupaciones principales es que LinkedIn podría inferir qué compañías usan productos rivales. El informe sostiene que la plataforma escanea más de 200 soluciones que compiten de forma directa con sus propias herramientas de ventas, entre ellas Apollo, Lusha y ZoomInfo.

La acusación va más lejos. El texto asegura que, dado que LinkedIn conoce el empleador de cada usuario, la empresa puede mapear qué compañías utilizan productos de terceros y extraer desde los navegadores de sus miembros una especie de lista de clientes de miles de firmas de software, sin conocimiento de los afectados.

También se afirma que esa información luego sería utilizada por la empresa. El reporte señala que LinkedIn ya habría enviado amenazas de cumplimiento a usuarios de herramientas de terceros, apoyándose en datos obtenidos por medio de ese escaneo encubierto para identificar objetivos concretos.

Sin embargo, no todas esas acusaciones fueron verificadas por terceros. Lo que sí pudo comprobarse de forma independiente es la existencia de un mecanismo activo de detección de extensiones y recolección de señales técnicas del dispositivo, lo que convierte el caso en un debate de privacidad con implicaciones mucho más amplias.

Qué se pudo comprobar sobre el script de LinkedIn

La publicación especializada BleepingComputer confirmó parte de las afirmaciones mediante pruebas propias. Durante ese proceso, observó que el sitio web de LinkedIn cargaba un archivo JavaScript con nombre aleatorio, diseñado para revisar si determinadas extensiones estaban presentes en el navegador del visitante.

El método utilizado consiste en intentar acceder a recursos de archivo asociados a un identificador específico de extensión. Esa técnica es conocida en la industria y permite inferir si un complemento está instalado, incluso si el usuario no ha interactuado directamente con él en ese momento.

En las pruebas citadas por ese medio, el script llegó a comprobar 6.236 extensiones del navegador. El dato es relevante por su escala. No se trata de unas pocas herramientas sospechosas, sino de un universo muy amplio que sugiere una práctica de fingerprinting o huella digital más agresiva de lo que suele esperarse en un entorno profesional.

Además, el crecimiento de ese inventario fue documentado en etapas previas. El mismo script ya había sido reportado en 2025, aunque entonces detectaba cerca de 2.000 extensiones. Un repositorio distinto de GitHub, publicado hace dos meses, mostraba unas 3.000 extensiones, lo que indica que la lista siguió expandiéndose con el tiempo.

El análisis también reveló que muchas de las extensiones rastreadas estaban relacionadas con LinkedIn. Aun así, la lista no se limita a ese ecosistema. También aparecen complementos de gramática e idiomas, herramientas para profesionales tributarios y otras funciones que, a primera vista, no guardan una relación clara con la defensa de la plataforma.

Junto con la detección de extensiones, el script recopila una amplia gama de datos del navegador y del dispositivo. Entre ellos figuran el número de núcleos de CPU, la memoria disponible, la resolución de pantalla, la zona horaria, la configuración de idioma, el estado de la batería, información de audio y características de almacenamiento.

Ese tipo de señales se asocia con técnicas de huella digital del navegador. Aunque por sí solas no siempre identifican a una persona, combinadas pueden ayudar a construir perfiles únicos y, en ciertos contextos, facilitar el rastreo de usuarios a través de distintos sitios o sesiones.

El medio que verificó parte del comportamiento indicó que no pudo confirmar las afirmaciones sobre el uso final de los datos ni si estos son compartidos con terceros. Esa precisión es importante, porque separa los hechos observables del script de las conclusiones más delicadas sobre motivaciones o explotación comercial de la información.

La respuesta de LinkedIn y el trasfondo judicial

LinkedIn no discutió que detecta extensiones específicas del navegador. En su respuesta, la empresa aseguró que la práctica tiene un fin defensivo y que se utiliza para proteger la privacidad de sus miembros, sus datos y la estabilidad del sitio frente a extensiones que extraen información sin consentimiento o que violan sus condiciones de servicio.

La compañía explicó que algunas extensiones poseen recursos estáticos, como imágenes o archivos JavaScript, disponibles para inyectarse en sus páginas web. Según su versión, la presencia de esas extensiones puede detectarse comprobando si existe la URL de ese recurso estático, algo que incluso puede verse desde la consola para desarrolladores de Chrome.

LinkedIn sostuvo que esos datos se emplean para determinar qué extensiones incumplen sus reglas, mejorar sus defensas técnicas y entender por qué una cuenta podría estar obteniendo una cantidad desproporcionada de datos de otros miembros, una actividad que, a gran escala, puede afectar la estabilidad de la plataforma.

La empresa también negó usar esa información para inferir datos sensibles sobre los usuarios. En su declaración, dijo que las acusaciones son falsas y enmarcó el reporte BrowserGate dentro de una disputa con una persona cuya cuenta fue restringida por scraping y por otras violaciones a las Condiciones del servicio de LinkedIn.

De acuerdo con la compañía, el conflicto involucra al desarrollador de una extensión relacionada con LinkedIn llamada Teamfluence. LinkedIn afirmó que ese complemento fue restringido por incumplir las reglas de la plataforma y sostuvo que el informe actual intenta trasladar esa disputa al terreno de la opinión pública.

La empresa compartió documentos según los cuales un tribunal alemán rechazó la solicitud del desarrollador de obtener una medida cautelar preliminar. Ese tribunal concluyó que las acciones de LinkedIn no constituían obstrucción ilegal ni discriminación, y que la recopilación automatizada de datos podía infringir por sí sola las condiciones de uso del servicio.

Además, el mismo fallo habría reconocido el derecho de la empresa a bloquear cuentas para proteger su plataforma. Con ese antecedente, LinkedIn argumenta que BrowserGate no es una revelación neutral sobre privacidad, sino un nuevo intento de reabrir públicamente un litigio que ya perdió sustento en sede judicial.

Aun con esa defensa, persiste un hecho que ninguna de las partes discute. El sitio de LinkedIn utiliza un script de huella digital que detecta más de 6.000 extensiones activas en un navegador basado en Chromium y recopila otros datos sobre el sistema del visitante.

Por qué el caso importa más allá de LinkedIn

Para lectores menos familiarizados con estos temas, el fingerprinting del navegador es una técnica que permite reunir múltiples señales técnicas del dispositivo para distinguirlo de otros. No requiere necesariamente cookies tradicionales y puede resultar difícil de advertir o bloquear para usuarios comunes.

En plataformas con una capa fuerte de identidad real, como LinkedIn, estas prácticas generan más inquietud. Si una compañía ya conoce nombre, empleo, cargo, empresa y red profesional de una persona, la detección de software instalado o herramientas utilizadas puede ampliar de forma notable el retrato digital del usuario.

El caso también toca una tensión conocida en seguridad digital. Las empresas suelen argumentar que necesitan métodos de detección agresivos para frenar fraude, scraping, automatización maliciosa o abuso de sus servicios. Los críticos responden que esos controles pueden volverse desproporcionados cuando recopilan más datos de los estrictamente necesarios.

No es la primera vez que se detectan scripts intrusivos de este tipo en grandes compañías. En 2021, se descubrió que eBay utilizaba JavaScript para realizar escaneos automatizados de puertos en los dispositivos de los visitantes, con el objetivo de determinar si ejecutaban distintos programas de soporte remoto.

Aunque eBay nunca confirmó por qué usaba esos scripts, se consideró ampliamente que podían estar vinculados a la prevención de fraude en dispositivos comprometidos. Más tarde se supo que numerosas firmas empleaban el mismo código, incluyendo Citibank, TD Bank, Ameriprise, Chick-fil-A, Lendup, BeachBody, Equifax IQ connect, TIAA-CREF, Sky, GumTree y WePay.

Ese antecedente demuestra que la frontera entre seguridad y vigilancia técnica no siempre es clara. También muestra que muchas prácticas de recolección de señales a nivel de navegador han circulado durante años en sectores como banca, comercio electrónico y servicios digitales, a menudo sin que los usuarios tengan plena conciencia de ello.

En el caso actual, la polémica no depende solo de si LinkedIn tenía un motivo legítimo para vigilar extensiones asociadas al scraping. La magnitud del escaneo, el tipo de datos capturados y el vínculo entre esa información y perfiles profesionales reales son los elementos que elevan la preocupación pública.

Por ahora, la controversia deja una conclusión concreta. Más allá del litigio entre LinkedIn y el autor del reporte, quedó expuesto que una de las mayores plataformas profesionales del mundo ejecuta mecanismos de huella digital extensivos sobre los navegadores de sus visitantes. Eso reabre preguntas incómodas sobre transparencia, consentimiento y proporcionalidad en la economía digital.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados