LinkedIn lleva años inyectando código malicioso en el navegador de sus usuarios para escanear extensiones, según informe

Archivo - Logotipo de la red social profesional LinkedIn- picture alliance / Rolf Vennenbe / DPA - Archivo

   MADRID, 6 Abr. (Portaltic/EP) -

   Una investigación ha denunciado que LinkedIn lleva años inyectando código malicioso en los navegadores de los usuarios de manera encubierta que le han permitido escanear más de 6.000 extensiones en busca de 'software' empresarial.

    'BrowserGate' es el nombre que la asociación Fairlinked eV, que reúne a usuarios comerciales de la red social profesional, ha dado a "una operación de espionaje masiva, global e ilegal" llevada a cabo por esta empresa, propiedad de Microsoft.

    Según se explica en el informe, LinkedIn ha inyectado código JavaScript malicioso en el navegador de cada uno de los usuarios que han accedido a la plataforma, "sin su conocimiento ni consentimiento.

    Este código se utiliza para buscar extensiones instaladas en el navegador y recopilar datos de los dispositivos que se envían a los servidores de LinkedIn; una práctica que aumentó en los últimos años hasta alcanzar a más de 6.000 extensiones y a una base de más de 405 millones de personas.

   "Entre 2017 y 2024, LinkedIn añadió aproximadamente 60 extensiones al año. Desde 2024 hasta diciembre de 2025, añadió casi 5.000", y el motivo de esta aceleración lo identifican en la Ley de Mercados Digitales de la Unión Europea.

Esta Ley designó a este servicio como guardian en 2023 y le obligó a abrir su plataforma a herramientas de terceros. "La respuesta de LinkedIn no fue abrirse, sino expandir masivamente la vigilancia sobre las mismas herramientas que la regulación pretendía proteger", se apunta.

    El objetivo, según la asociación, es el de recopilar información corporativa de los empleados, como las herramientas que 'software' que utilizan. Ello se debe a que LinkedIn, al ser una red social profesional que requiere la identidad real de los participantes, ya conoce el nombre, la empresa y el cargo de cada uno de ellos.

    Así, las extensiones detectadas se han clasificado en distintas categorías: herramientas específicas para LinkedIn; competidores en ventas y prospección; de búsqueda de empleo; VPN, bloqueadores de anuncios y herramientas de seguridad; extensiones religiosas; extensiones políticas; y herramientas para personas con discapacidad y neurodivergencia.

   Sin embargo, el escaneo de las extensiones permite revelar información sensible de los usuarios, como opiniones políticas, creencias religiosas, discapacidades o neurodivergencias, estado laboral e incluso secretos comerciales.

    El informe incide en que la política de privacidad de LinkedIn no menciona el escaneo de extensiones, ni tampoco "ningún documento público, página de ayuda ni recurso para desarrolladores". Los usuarios que acceden a la red social no reciben ninguna notificación al respecto.

RESPUESTA DE LINKEDIN

  En declaraciones a Europa Press, LinkedIn ha negado las acusaciones de este informe y ha remitido a su Política de Privacidad, donde afirma que se recoge que puede analizar las extensiones del navegador con fines de seguridad. 

   También ha indicado que el perfil de ayuda de LinkedIn ha aclarado la situación en el foro de Hacker News, donde ha explicado que algunas extensiones tienen recursos estáticos, como imágenes y javascript, disponibles para inyectar en sus páginas web, y que la empresa puede detectarlos e incluso son visibles en la cosola de desarrollador de Chrome. 

   “Usamos estos datos para determinar qué extensiones violan nuestros términos, para informar y mejorar nuestras defensas técnicas y para comprender por qué una cuenta de miembro podría estar obteniendo una cantidad excesiva de datos de otros miembros, lo que a gran escala afecta la estabilidad del sitio. No utilizamos estos datos para inferir información confidencial sobre los miembros”, se añade. 

  Por otro lado, al menos en la política dirigida a los usuarios de la Unión Europea, el Espacio Económico Europeo, Reino Unido y Suiza se informa de que utiliza 'cookies' y tencologías como píxeles y etiquetas de anuncios para recopilar información sobre el usuario, el dispositivo desde el que se conecta, incluída información del navegador, con fines publicitarios. 

   Con esas mismas tecnologias también recogen la ubicación del dispositivo, información sobre la red (se incluye el navegador) la url desde la que han llegado los usuarios a LinkedIn y la URL a la que se dirigen después, así como la hora de conexión. En este apartado, no se especifica la finalidad.