Ciudad de México.- La red social profesional LinkedIn, propiedad de Microsoft, ha sido denunciada por inyectar código malicioso en los navegadores de sus usuarios para escanear sus extensiones instaladas sin consentimiento, en una operación que una asociación de usuarios ha bautizado como “BrowserGate”.

La práctica, calificada de espionaje masivo, habría permitido recopilar datos sensibles de una base de más de 405 millones de personas.

La asociación Fairlinked eV, que reúne a usuarios comerciales de la plataforma, presentó un informe que detalla una operación de vigilancia encubierta y global. Según la investigación, LinkedIn ha estado inyectando código JavaScript malicioso en el navegador de cada usuario que accede a su servicio, “sin su conocimiento ni consentimiento”.

“ BrowserGate es una operación de espionaje masiva, global e ilegal.

El mecanismo de la vigilancia

El código inyectado tenía como función buscar las extensiones instaladas en el navegador y recopilar datos del dispositivo para enviarlos a los servidores de LinkedIn. El informe señala que el escrutinio se amplió a más de 6,000 extensiones diferentes.

La escala de esta práctica se aceleró notablemente en los últimos años. Entre 2017 y 2024, LinkedIn añadía unas 60 extensiones al año a su lista de escaneo. Sin embargo, desde 2024 hasta diciembre de 2025, añadió casi 5 mil.

La conexión con la regulación europea

La asociación identifica el motivo de esta aceleración en la Ley de Mercados Digitales (DMA) de la Unión Europea. Esta normativa designó a LinkedIn como “guardián” en 2023, obligándole a abrir su plataforma a herramientas de terceros.

“ La respuesta de LinkedIn no fue abrirse, sino expandir masivamente la vigilancia sobre las mismas herramientas que la regulación pretendía proteger”, se apunta.

El objetivo: información corporativa y datos sensibles

El objetivo principal, según Fairlinked eV, sería recopilar información corporativa de los empleados, como las herramientas de software que utilizan. Al ser una red que requiere la identidad real, LinkedIn ya conoce el nombre, empresa y cargo de sus usuarios, lo que permite cruzar estos datos.

Las extensiones escaneadas se clasifican en categorías que revelan información extremadamente sensible:

• Herramientas específicas para LinkedIn y competidores en ventas.

• Extensiones de búsqueda de empleo.

• VPN, bloqueadores de anuncios y herramientas de seguridad.

• Extensiones religiosas y políticas.

• Herramientas para personas con discapacidad y neurodivergencia.

Este escaneo permite inferir opiniones políticas, creencias religiosas, discapacidades, neurodivergencias, estado laboral e incluso secretos comerciales.

Falta de transparencia y consentimiento

El informe subraya que la política de privacidad de LinkedIn no menciona en absoluto el escaneo de extensiones. Tampoco se encontraría referencia en “ningún documento público, página de ayuda ni recurso para desarrolladores”. Los usuarios no reciben ninguna notificación cuando este código se ejecuta en sus dispositivos.

Con información de Europa Press