LinkedIn espiaba tu navegador en secreto: escanea 6,000 extensiones de Chrome y ya le cayeron dos demandas

Pantalla de código con elementos de seguridad cibernética
LinkedIn inyectaba código JavaScript oculto para escanear tu navegador sin tu conocimiento

Cada vez que abrías LinkedIn en tu navegador, la plataforma ejecutaba un código espía que escaneaba tus extensiones de Chrome, recolectaba datos de tu hardware y rastreaba tu actividad — sin que tuvieras la más mínima idea. Y no estamos hablando de un bug o una función oscura: estamos hablando de una operación de vigilancia masiva que la propia comunidad de ciberseguridad apodó "BrowserGate".

Un informe de seguridad publicado esta semana reveló que LinkedIn inyecta JavaScript oculto en su sitio web que escanea más de 6,000 extensiones de Chrome instaladas en tu navegador. El código captura qué extensiones tienes activas, qué hardware usas y qué software tienes instalado. Todo esto sin pedirte permiso, sin un botón de "aceptar", y sin una política de privacidad clara que lo mencione.

¿Qué descubrieron los investigadores?

Según múltiples informes de Cybernews, Tom's Hardware, TechRadar, Hackread y SC Media, el código malicioso funciona así:

LinkedIn carga un script JavaScript que recolecta una "huella digital" completa de tu navegador: lista todas las extensiones de Chrome que tienes instaladas (de una base de datos de más de 6,000), captura detalles de tu hardware (procesador, memoria, tarjeta gráfica), y recopila información sobre tu sistema operativo y configuración de red.

¿Por qué? LinkedIn dice que es por "seguridad". Según la empresa, el escaneo detecta extensiones maliciosas que podrían robar credenciales o comprometer cuentas corporativas. Pero los investigadores de seguridad no se tragan esa explicación.

"Escanear 6,000 extensiones va mucho más allá de lo que cualquier sistema de seguridad legítimo necesita. Esto es vigilancia a escala industrial disfrazada de protección al usuario."

Las dos demandas que ya cayeron

La revelación no pasó desapercibida. Dos demandas legales ya fueron presentadas contra LinkedIn por esta práctica. Según Ars Technica, los demandantes alegan que LinkedIn violó leyes de privacidad al recolectar datos del navegador sin consentimiento informado.

El argumento es simple: aunque LinkedIn es "gratis" para usar, los usuarios tienen derecho a saber qué datos se recolectan de su dispositivo. Y escanear extensiones de Chrome sin explicarlo claramente cruza esa línea.

Lo más irónico: LinkedIn tiene más de 1,000 millones de usuarios en todo el mundo. Si tan solo el 1% visita la plataforma diariamente, estamos hablando de millones de navegadores escaneados cada día sin conocimiento del usuario.

¿Qué extensiones esaban rastreando exactamente?

La lista de 6,000 extensiones incluye de todo: desde gestores de contraseñas como LastPass y 1Password, hasta herramientas de productividad, bloqueadores de anuncios, VPNs, y extensiones de desarrollo como React DevTools.

En otras palabras: LinkedIn sabía si usabas una VPN, si tenías un bloqueador de anuncios activo, si usabas herramientas de automatización, y hasta si eras desarrollador (por tus extensiones de coding). Toda esa información es extremadamente valiosa para perfiles publicitarios.

Los investigadores de SecurityWeek publicaron un análisis que cuestiona la narrativa de LinkedIn: el alcance del escaneo es desproporcionadamente amplio para ser solo una medida de seguridad. Si el objetivo fuera detectar extensiones maliciosas, bastaría con revisar una lista de 50-100 extensiones conocidas como peligrosas. Escanear 6,000 sugiere un objetivo diferente: recolección de datos para publicidad y profiling.

La reacción de LinkedIn y la comunidad

LinkedIn respondió a las acusaciones diciendo que el escaneo es una "medida de seguridad estándar" implementada para proteger a los usuarios de extensiones comprometidas. Pero la comunidad de ciberseguridad no se quedó callada.

En Hacker News, el hilo sobre el escándalo acumuló más de 380 puntos y 100 comentarios, con usuarios destapando que la práctica lleva activa desde al menos 2022. Muchos señalaron que LinkedIn nunca notificó a sus usuarios sobre esta función de "seguridad".

En redes sociales, el hashtag #BrowserGate se volvió tendencia, con profesionales de tecnología de todo el mundo expresando su indignación. La ironía no escapó a nadie: la plataforma que se vende como la red profesional más confiable del mundo estaba espiando exactamente a las personas que confiaban en ella.

¿Cómo afecta esto a usuarios en Latinoamérica?

Si eres profesional en LATAM y usas LinkedIn para buscar trabajo o conectar con clientes, esto te afecta directamente. Miles de empresas latinas usan LinkedIn como herramienta principal de reclutamiento. Tus datos de navegación, tus extensiones, tu hardware — todo era visible para LinkedIn.

En países como México, Colombia, Argentina y Chile, donde LinkedIn crece como plataforma profesional, muchos usuarios no tienen conocimiento de estas prácticas de privacidad. La falta de regulación de datos personales en varios países latinos hace que empresas como LinkedIn se sientan cómodas implementando este tipo de vigilancia sin consecuencias.

Si tu empresa usa LinkedIn Recruiter o LinkedIn Sales Navigator, tus empleados están expuestos al mismo escaneo. Los datos de hardware y software de las computadoras corporativas también fueron capturados.

Cómo protegerte ahora mismo

Mientras las demandas avanzan y posiblemente se implementen regulaciones, aquí van acciones concretas que puedes tomar hoy:

1. Revisa tus extensiones de Chrome. Ve a chrome://extensions y elimina las que no uses activamente. Menos extensiones = menos datos para LinkedIn.

2. Usa un navegador dedicado para LinkedIn. Instala una versión limpia de Firefox o Brave sin extensiones para acceder solo a LinkedIn. Así reduces la huella digital que capturan.

3. Activa el bloqueo de scripts. Extensiones como uBlock Origin o NoScript pueden bloquear el JavaScript de rastreo de LinkedIn (aunque esto puede afectar la funcionalidad del sitio).

4. Usa modo incógnito para LinkedIn. No resuelve el escaneo de extensiones, pero limita la retención de cookies y datos de sesión.

5. Considera alternativas. Plataformas como Xing, Wellfound (antes AngelList), o even LinkedIn Lite pueden tener prácticas de privacidad diferentes.

El precedente que esto establece

BrowserGate no es solo un escándalo de LinkedIn. Es un recordatorio de que las plataformas "gratuitas" nunca son realmente gratis. Si un servicio no te cobra dinero, te cobra con tus datos.

La diferencia aquí es que LinkedIn fue atrapado haciendo algo que la mayoría de usuarios nunca想象aron que era posible. La idea de que un sitio web puede escanear tu navegador y descubrir qué extensiones tienes instaladas suena a cosa de película — pero es real, y estaba pasando cada vez que abrías la plataforma.

Si esto te molesta, no estás solo. Las dos demandas en curso podrían sentar un precedente importante sobre qué pueden y qué no pueden hacer las plataformas con los datos de tu navegador. Y con regulaciones como el GDPR en Europa y la Ley Federal de Protección de Datos Personales en México, estos casos podrían abrir la puerta a cambios reales.

Comparte esto con alguien que todavía confía ciegamente en LinkedIn — porque si no sabían que los estaban espiando, necesitan leer esto.

¿Tú sabías que LinkedIn escaneaba tu navegador? ¿Crees que es justificable bajo el argumento de "seguridad"? Cuéntame en los comentarios 👇