La red social profesional LinkedIn habría estado inyectando durante años código malicioso en los navegadores de sus usuarios con el objetivo de escanear las extensiones instaladas. El informe, elaborado por la asociación Fairlinked eV, denuncia una práctica que califica como una operación de espionaje “masiva, global e ilegal”, desarrollada sin el conocimiento ni el consentimiento de los afectados.
De acuerdo con los datos expuestos, la plataforma habría utilizado código JavaScript insertado directamente en el navegador de quienes accedían a su servicio. Este código permitía identificar las extensiones instaladas y recopilar información asociada a los dispositivos, que posteriormente era enviada a los servidores de la compañía. La investigación sostiene que esta práctica se habría prolongado durante años y habría alcanzado a cientos de millones de usuarios en todo el mundo.
El informe señala que la red social llegó a escanear más de 6.000 extensiones diferentes, muchas de ellas relacionadas con herramientas de software empresarial, aunque también incluyó otras categorías. Entre ellas se encuentran extensiones de búsqueda de empleo, soluciones de ventas y prospección, herramientas de seguridad como redes privadas virtuales (VPN) o bloqueadores de anuncios, así como aplicaciones vinculadas a aspectos personales como creencias religiosas o preferencias políticas.
Según la investigación, el volumen de extensiones monitorizadas experimentó un crecimiento notable en los últimos años. Entre 2017 y 2024, LinkedIn habría añadido aproximadamente 60 extensiones anuales a su sistema de rastreo. Sin embargo, a partir de 2024 y hasta finales de 2025, esta cifra se incrementó de forma significativa hasta alcanzar cerca de 5.000 nuevas extensiones analizadas.
Los autores del informe vinculan este aumento con la entrada en vigor de la normativa europea conocida como Ley de Mercados Digitales, que designó a LinkedIn como “guardián de acceso” en 2023. Esta legislación obliga a las grandes plataformas digitales a facilitar la interoperabilidad con herramientas de terceros. No obstante, la asociación sostiene que, en lugar de abrir su ecosistema, la compañía habría intensificado el seguimiento de dichas herramientas, ampliando sus capacidades de vigilancia sobre ellas.
La información recopilada mediante este sistema permitiría, según los investigadores, inferir datos sensibles de los usuarios. Al tratarse de una red profesional en la que los perfiles están vinculados a identidades reales, la plataforma ya dispone de información como el nombre, el puesto de trabajo o la empresa de cada usuario. Al cruzar estos datos con las extensiones detectadas en el navegador, sería posible deducir aspectos adicionales como opiniones políticas, creencias religiosas, situación laboral, condiciones de salud o incluso secretos comerciales relacionados con la actividad profesional.
El informe también subraya la falta de transparencia en torno a estas prácticas. Según la asociación Fairlinked eV, la política de privacidad de LinkedIn no incluye ninguna referencia al escaneo de extensiones del navegador. Asimismo, no existirían menciones a esta actividad en documentos públicos, páginas de ayuda o recursos dirigidos a desarrolladores. Los usuarios, por tanto, no habrían recibido notificación alguna sobre la ejecución de este tipo de código en sus dispositivos.
La investigación ha denominado esta operación como “BrowserGate” y la presenta como un caso de vigilancia encubierta a gran escala dentro del entorno digital profesional. La denuncia pone el foco en el uso de técnicas que, según los autores, vulnerarían principios básicos de privacidad y protección de datos, al realizarse sin consentimiento explícito y sin mecanismos claros de información al usuario.
El contexto en el que se produce esta revelación coincide con un aumento de las preocupaciones en materia de ciberseguridad y privacidad en plataformas digitales. En los últimos meses, distintos informes han alertado del uso de redes sociales profesionales como vector para campañas de malware o phishing dirigidas a perfiles de alto valor, lo que ha intensificado el escrutinio sobre las prácticas de recopilación de datos en este tipo de servicios.
