La red profesional LinkedIn, propiedad de Microsoft, se sitúa en el centro del debate sobre privacidad y ciberseguridad tras un informe de la asociación alemana Fairlinked e.V., que denuncia el uso de scripts JavaScript ocultos para realizar fingerprinting masivo de navegador y para comprobar la presencia de miles de extensiones instaladas en los equipos de los usuarios.
Cómo funciona el escaneo de extensiones en LinkedIn
Según Fairlinked, LinkedIn inyecta código JavaScript específico en las sesiones de navegación. Ese script recorre de forma secuencial numerosos identificadores (ID) de extensiones y trata de acceder a determinados recursos internos de cada una. Esta técnica es conocida en ciberseguridad como un método indirecto para detectar qué extensiones están instaladas sin necesidad de acceder directamente a su configuración.
Un análisis independiente realizado por BleepingComputer identificó en el sitio de LinkedIn un archivo JavaScript con nombre aleatorio que intentaba comprobar 6.236 extensiones en navegadores basados en Chromium. Históricamente, listas similares públicas en GitHub incluían solo unos pocos miles de extensiones, lo que sugiere un proceso de actualización continua y una práctica sistemática más que pruebas aisladas.
Qué datos se recogen y por qué son tan sensibles
Escaneo de extensiones y posible inteligencia competitiva
El informe indica que el listado no se limita a extensiones relacionadas con LinkedIn. Se habrían identificado más de 200 extensiones de competidores directos como Apollo, Lusha, ZoomInfo y otras herramientas B2B de prospección y enriquecimiento de datos. Al combinar esta información con datos ya conocidos por la plataforma —nombre real, puesto, empresa— LinkedIn podría, en teoría, inferir qué organizaciones utilizan soluciones rivales y con qué intensidad.
Además de productos comerciales, en la lista figuran extensiones lingüísticas y gramaticales, utilidades específicas para asesores fiscales y otras herramientas de nicho. En la práctica, el conjunto de extensiones instaladas ofrece una visión muy precisa sobre el rol del usuario, su sector, su nivel de madurez digital y determinados procesos internos de la empresa donde trabaja.
Fingerprinting de navegador: más allá de las cookies tradicionales
Fairlinked también subraya que el script de LinkedIn no se limita al escaneo de extensiones. El código construye un browser fingerprint o huella digital del navegador, recopilando parámetros como:
• número de núcleos de CPU y memoria disponible aproximada;
• resolución de pantalla y nivel de escalado;
• zona horaria y configuración de idioma;
• estado de la batería;
• características del subsistema de audio;
• capacidad y tipo de almacenamiento accesible desde el navegador.
La combinación de estas señales técnicas permite identificar de forma bastante estable un dispositivo incluso sin recurrir a cookies. Este enfoque, ampliamente documentado por la comunidad de ciberseguridad y por autoridades de protección de datos europeas, se considera uno de los métodos de rastreo más resistentes a los borrados de historial o al bloqueo de terceros.
Argumentos de LinkedIn y la controversia en torno a BrowserGate
LinkedIn no niega el uso de scripts para escanear extensiones, pero sostiene que su finalidad es la protección de la plataforma y la lucha contra el fraude. Entre los objetivos declarados figuran la detección de herramientas de scraping automatizado, la identificación de abusos de la API y la reducción de cuentas maliciosas.
La compañía cuestiona, además, el contexto del informe conocido como BrowserGate. El autor está vinculado al desarrollo de la extensión Teamfluence y su cuenta de LinkedIn fue bloqueada anteriormente por actividades de scraping. LinkedIn afirma que el desarrollador acudió a los tribunales en Alemania para impugnar el bloqueo y que el tribunal dictaminó que sus prácticas de tratamiento de datos vulneraban la normativa vigente, lo que la empresa utiliza para señalar un posible conflicto de intereses en la crítica.
Implicaciones de privacidad y marco normativo (GDPR y más allá)
El aspecto clave no es solo la finalidad declarada, sino la proporcionalidad y transparencia del tratamiento. El conjunto de extensiones asociadas a un perfil identificado con nombre y empleador puede considerarse dato personal bajo el Reglamento General de Protección de Datos (GDPR), lo que exige una base jurídica clara, información adecuada al usuario y, en muchos casos, su consentimiento.
Los reguladores europeos ya han advertido en varias ocasiones de que el fingerprinting de navegador puede utilizarse para eludir las limitaciones sobre cookies y banners de consentimiento. Casos previos apoyan esta preocupación: eBay fue analizado por escanear automáticamente puertos locales en busca de software de acceso remoto, y prácticas similares de inspección avanzada del entorno del usuario se han observado en sitios de entidades financieras y compañías de crédito.
Cómo pueden reaccionar usuarios y organizaciones ante el fingerprinting
Desde una perspectiva de ciberseguridad defensiva, reducir la superficie de exposición es fundamental. Limitar el número de extensiones instaladas, eliminar aquellas que apenas se usan y optar por proveedores de confianza disminuye la capacidad de un tercero para crear perfiles altamente únicos.
Otra medida eficaz es separar contextos de navegación: utilizar un navegador o perfil exclusivo para redes sociales y otro distinto para trabajo corporativo, banca u operaciones sensibles. De este modo se evita que una sola plataforma concentre información excesiva sobre hábitos y herramientas profesionales.
Adicionalmente, los usuarios pueden recurrir a navegadores y complementos con protección anti-fingerprinting, que introducen cierta aleatoriedad en parámetros técnicos o bloquean scripts de rastreo conocidos. Aunque estas soluciones no son infalibles, elevan significativamente el coste técnico del seguimiento.
En el ámbito empresarial, resulta recomendable establecer políticas claras de seguridad en navegador (Browser Security Policy), auditar regularmente las extensiones autorizadas, y monitorizar el comportamiento de scripts de terceros en aplicaciones críticas para detectar posibles fugas de metadatos hacia plataformas externas.
El caso de LinkedIn ilustra cómo se difuminan las fronteras entre ciberseguridad defensiva, analítica de negocio e inteligencia competitiva. Comprender qué datos pueden ser recolectados en segundo plano, revisar periódicamente las extensiones instaladas y mantenerse al día sobre técnicas de browser fingerprinting se ha convertido en una parte esencial de cualquier estrategia moderna de protección de la privacidad, tanto para individuos como para organizaciones.
