LinkedIn escanea extensiones de Chrome: qué está pasando con tu navegador

  • Investigación europea revela que LinkedIn inyecta JavaScript para escanear más de 6.000 extensiones de Chrome y recoger datos del dispositivo.
  • Los datos se vinculan a perfiles reales e incluyen información potencialmente sensible, lo que plantea dudas serias bajo el GDPR y la DMA en la UE.
  • LinkedIn admite el escaneo pero lo justifica como medida de seguridad contra scraping y abusos, y niega usos comerciales o inferencias sensibles.
  • Expertos y asociaciones reclaman más transparencia y recomiendan medidas prácticas para reducir la exposición, como usar Firefox o bloqueadores de scripts.
Alberto Navarro

13 minutos

LinkedIn escanea extensiones de Chrome

LinkedIn, la red social profesional de referencia en Europa, se ha visto envuelta en una fuerte polémica por privacidad tras salir a la luz que escanea extensiones de Chrome y otros navegadores basados en Chromium. Una investigación bautizada como BrowserGate sostiene que la plataforma lleva años analizando en silencio el navegador de sus usuarios y recopilando datos técnicos detallados de sus dispositivos.

Qué es BrowserGate y quién está detrás de la investigación

El término BrowserGate procede de una investigación liderada por Fairlinked e.V., una asociación europea de usuarios comerciales de LinkedIn con sede en Alemania. Este grupo asegura haber descubierto que la red social de Microsoft inyecta un bundle de JavaScript de unos 2,7 MB en cada carga de página, diseñado específicamente para escanear el entorno del navegador del usuario.

Según Fairlinked, ese código se ejecuta en segundo plano cada vez que se abre LinkedIn en navegadores basados en Chromium, como Google Chrome, Microsoft Edge o Brave (cuando no se bloquean ciertos endpoints). El script buscaría extensiones concretas, recopilaría señales técnicas del dispositivo y enviaría los resultados cifrados a servidores de LinkedIn, supuestamente ligados a la cuenta personal de cada miembro.

La asociación califica la práctica como una “operación de espionaje masiva, global e ilegal”, especialmente en el contexto europeo. Argumenta que el comportamiento se produce sin información clara al usuario, sin consentimiento explícito y sin reflejarse en la política de privacidad o documentación pública de la empresa, lo que chocaría con varios principios del GDPR.

Además, Fairlinked remarca que el impacto es grande en el tejido empresarial europeo: los miembros suelen usar LinkedIn con su nombre real, su empresa y su cargo, de modo que cualquier dato adicional recabado a través del navegador adquiere rápidamente un carácter corporativo y potencialmente sensible.

Cómo funciona el escaneo de extensiones de Chrome

De acuerdo con el informe BrowserGate, el mecanismo de LinkedIn se sustenta en un bundle de JavaScript que combina tres capas de detección para identificar extensiones instaladas en navegadores basados en Chromium:

  • Detección por acceso a recursos: el script intenta acceder a rutas del tipo chrome-extension:// asociadas a IDs concretos de extensiones. Si el recurso responde, se asume que la extensión está instalada.
  • Detección vía DOM: inspección de elementos que determinadas extensiones inyectan en las páginas (por ejemplo, barras, botones adicionales o scripts personalizados).
  • “Spectroscopy”: un recorrido más profundo del árbol DOM para localizar cualquier modificación característica introducida por complementos del navegador.

Este enfoque escalonado permite, según la investigación, escanear en bloque más de 6.000 extensiones diferentes en cuestión de segundos. El bundle no solo comprueba si existe una o dos herramientas sospechosas, sino que recorre un listado de extensiones que ha ido creciendo de forma muy notable en los últimos años.

Los datos recopilados no se limitan a la lista de extensiones. El script también obtiene 48 características del dispositivo, entre ellas:

  • Número de núcleos de CPU y tipo de procesador.
  • Cantidad de memoria disponible.
  • Resolución de pantalla y configuración de pantallas múltiples.
  • Zona horaria, idioma del sistema y ajustes regionales.
  • Estado de la batería y ciertas capacidades de audio y almacenamiento.

Con esta información, el sistema puede construir lo que se conoce como una huella digital del navegador (browser fingerprint). Aunque por separado estos datos no identifiquen a una persona, combinados dan lugar a un perfil técnico muy singular, que se vuelve plenamente identificable cuando se asocia a una cuenta de LinkedIn con nombre y apellidos.

Cuántas extensiones se escanean y cómo ha evolucionado la lista

Uno de los puntos que más ha llamado la atención a los expertos es la escala del escaneo. Fairlinked documenta que LinkedIn llevaba tiempo utilizando esta técnica, pero el número de extensiones bajo vigilancia habría crecido de forma explosiva:

  • En 2017, la lista inicial contenía apenas 38 extensiones.
  • En 2024, el inventario se amplió hasta 461 extensiones.
  • En febrero de 2026, el informe sitúa la cifra en 6.167 extensiones, lo que supone un aumento de más del 1.250 % en apenas dos años.

Pruebas independientes realizadas por el medio especializado BleepingComputer en abril de 2026 confirman que, en el momento de sus test, el script de LinkedIn comprobaba 6.236 extensiones distintas. Las mismas pruebas observaron que el JavaScript se cargaba con un nombre aparentemente aleatorio y se ejecutaba en segundo plano en cada visita.

El salto en el número de extensiones coincide, en parte, con la entrada en vigor de la Ley de Mercados Digitales (DMA) de la Unión Europea. Fairlinked sostiene que, en lugar de limitarse a abrir más su ecosistema a herramientas de terceros, LinkedIn habría respondido ampliando masivamente la vigilancia sobre ellas, sobre todo las que operan en el mismo nicho de negocio.

Qué tipo de extensiones vigila LinkedIn y por qué preocupa tanto

El listado de extensiones escaneadas no se restringe a complementos sospechosos de scraping o automatización agresiva. Según BrowserGate, incluye categorías muy diversas que pueden revelar información especialmente sensible sobre los usuarios:

  • Extensiones religiosas, como herramientas para horarios de oración islámica o lecturas diarias de la Torá.
  • Utilidades para salud y neurodiversidad, por ejemplo ayudas para TDAH, dislexia u otras condiciones.
  • 509 extensiones de búsqueda de empleo, con un total combinado de alrededor de 1,4 millones de usuarios.
  • Más de 200 herramientas de ventas y prospección que compiten directamente con las soluciones comerciales de LinkedIn.
  • Bloqueadores de anuncios, VPN, extensiones de seguridad y herramientas de productividad variadas.

La combinación de estas categorías abre la puerta a inferencias de alto impacto. El mero hecho de que LinkedIn detecte la presencia de ciertas extensiones podría sugerir creencias religiosas, inclinaciones políticas, problemas de salud, discapacidad o búsqueda activa de empleo. Además, al identificar herramientas de ventas rivales, la plataforma podría extraer conclusiones sobre qué empresas utilizan productos competidores.

Fairlinked llega a plantear que, dado que LinkedIn ya conoce la empresa, el cargo y el sector de cada usuario, la plataforma podría usar este escaneo encubierto para mapear carteras de clientes de miles de proveedores de software sin que estos ni sus usuarios sean conscientes. Aunque esta acusación concreta no ha sido verificada de forma independiente, ilustra el potencial estratégico de cruzar información de extensiones y perfiles profesionales.

Confirmaciones independientes y lo que se ha podido verificar

Aunque no todas las afirmaciones de BrowserGate se han demostrado punto por punto, varios medios tecnológicos han replicado parte de los hallazgos. BleepingComputer, por ejemplo, documentó que:

  • La web de LinkedIn cargaba un archivo JavaScript con nombre aleatorio que se ejecutaba en cada visita.
  • Ese script intentaba acceder a recursos asociados a IDs concretos de extensiones, siguiendo el patrón típico de detección en navegadores Chromium.
  • En sus pruebas, el sistema llegó a comprobar más de 6.200 extensiones.
  • El código recopilaba múltiples datos técnicos del dispositivo, consistentes con prácticas avanzadas de fingerprinting.

Otros análisis publicados en medios como Tom’s Hardware, gHacks o Cybernews coinciden en describir un patrón de huella digital extensa, combinando la detección de extensiones con parámetros de hardware y configuración del navegador. Todos subrayan que el proceso se realiza sin una notificación clara al usuario medio y sin un control granular sobre el tipo de información recopilada.

Sin embargo, dichos medios también matizan que no han podido comprobar el uso final de los datos ni si se comparten con terceros. Es decir, se ha verificado la existencia del escaneo y la recolección de señales técnicas, pero no todos los escenarios hipotéticos planteados por la asociación europea.

La respuesta oficial de LinkedIn y la batalla legal en Europa

LinkedIn no ha negado que detecte extensiones concretas ni que recopile señales del dispositivo. En sus declaraciones públicas, la compañía defiende que todo el mecanismo tiene una finalidad de seguridad: identificar extensiones que extraen datos de forma masiva (scraping), violan sus Términos de servicio o ponen en riesgo la estabilidad de la plataforma.

La empresa sostiene que algunas extensiones exponen recursos estáticos, como imágenes o archivos JavaScript, accesibles desde sus páginas, y que la mera comprobación de la existencia de esas URLs puede verse incluso desde la consola de desarrollador de Chrome. De ese modo, LinkedIn enmarca la práctica en un esfuerzo legítimo por detectar abusos y automatizaciones no autorizadas.

En cuanto a las acusaciones más serias, la compañía ha sido tajante: califica varios puntos del informe de BrowserGate como “simplemente erróneos” y asegura que no utiliza los datos para inferir creencias religiosas, opiniones políticas ni condiciones de salud. LinkedIn insiste en que el escaneo se limita a proteger la privacidad de los usuarios y la integridad del servicio frente a comportamientos abusivos.

Además, la empresa vincula el origen de la denuncia a un conflicto previo con el desarrollador de una extensión relacionada con LinkedIn, conocida como Teamfluence. Según la plataforma, dicha extensión habría sido restringida por violar sus reglas de uso, y el autor habría iniciado varios procedimientos legales que no prosperaron. Un tribunal alemán rechazó una medida cautelar preliminar, concluyendo que LinkedIn podía bloquear cuentas para proteger su servicio y que la recopilación automatizada de datos vía scraping infringía las condiciones de la red.

A pesar de esta defensa, Fairlinked ha anunciado que ha puesto en marcha acciones legales adicionales bajo la Ley de Mercados Digitales (DMA) y el marco del GDPR europeo, alegando que el escaneo masivo y silencioso de extensiones excede lo razonable incluso con una motivación de seguridad.

Implicaciones bajo el GDPR y la regulación europea

Desde el punto de vista jurídico europeo, el caso BrowserGate toca varios puntos sensibles. Para empezar, el GDPR clasifica como “datos de categoría especial” aquellos que permiten inferir creencias religiosas, opiniones políticas o información de salud. Si la detección de extensiones religiosas, políticas o de apoyo a la neurodiversidad se vincula a perfiles nominativos, el tratamiento de esos datos requeriría, en principio, un consentimiento explícito y específico.

El informe de Fairlinked subraya que ni la política de privacidad de LinkedIn ni su documentación pública mencionan de forma clara este escaneo de extensiones ni el fingerprinting asociado. Tampoco se presenta al usuario un mecanismo de consentimiento granular para autorizar ese tipo de análisis del navegador, algo que podría entrar en conflicto con los principios de transparencia, minimización y limitación de la finalidad del GDPR.

Por otro lado, la propia DMA de la Unión Europea, que identifica a LinkedIn como “guardián de acceso” (gatekeeper), exige que las grandes plataformas no abusen de su posición ni obstaculicen injustificadamente a servicios de terceros. La asociación denunciante interpreta que escanear extensiones de competidores podría utilizarse para vigilar o presionar a herramientas rivales, lo que agravaría la lectura regulatoria.

De momento, las autoridades europeas no han hecho públicas sanciones específicas relacionadas con este caso, pero el debate en Bruselas sobre la vigilancia corporativa y el fingerprinting está muy vivo. El caso LinkedIn se suma a una lista creciente de prácticas cuestionadas que ponen a prueba la capacidad real de la UE para hacer cumplir sus normas de protección de datos.

¿A quién afecta y qué riesgo real supone para los usuarios?

La investigación y los análisis posteriores coinciden en que el impacto se concentra en usuarios que acceden a LinkedIn desde navegadores basados en Chromium sin protecciones adicionales. Es decir:

  • Usuarios de Google Chrome.
  • Usuarios de Microsoft Edge.
  • Usuarios de Brave que no modifiquen la configuración por defecto, aunque este navegador bloquea ciertos endpoints de seguimiento.

En cambio, quienes utilizan Firefox o Safari ven reducida en gran medida la exposición, porque el método de detección de extensiones está muy ligado a la arquitectura de extensiones de Chromium. Aun así, el fingerprinting de dispositivo con datos como CPU, memoria o resolución puede realizarse, en mayor o menor medida, en distintos navegadores.

El riesgo principal no es tanto que LinkedIn lea el contenido de las extensiones, sino que sepa cuáles tienes instaladas y lo vincule a tu perfil profesional. Esto permite generar una imagen muy detallada de tus herramientas de trabajo, tu situación laboral (por ejemplo, si usas extensiones de búsqueda de empleo) o tus intereses personales, en un contexto donde tus datos ya están fuertemente asociados a tu identidad real.

Para la mayoría de usuarios, el peligro inmediato no pasa por un “hackeo” clásico, sino por un aumento silencioso de la vigilancia y la capacidad de rastreo, difícil de percibir y de controlar, que puede tener consecuencias en materia de privacidad, competencia y, eventualmente, reputación profesional.

Recomendaciones prácticas para reducir la exposición

Ante este escenario, las recomendaciones de expertos en seguridad y privacidad se centran en limitar el alcance del fingerprinting y el escaneo de extensiones cuando se usa LinkedIn, especialmente en entornos corporativos europeos:

  • Usar navegadores alternativos: acceder a LinkedIn desde Firefox o Safari reduce notablemente la eficacia de las técnicas de detección de extensiones basadas en Chromium.
  • Instalar bloqueadores de scripts y rastreadores: extensiones como uBlock Origin o herramientas de privacidad avanzadas ayudan a bloquear endpoints de tracking y bundles de JavaScript intrusivos.
  • Configurar Brave con mayor agresividad: Brave ya bloquea parte del seguimiento por defecto, pero es recomendable revisar las opciones de “protección avanzada” cuando se visite LinkedIn.
  • Separar entornos: algunas empresas optan por navegar redes sociales profesionales desde un navegador aislado, con pocas extensiones y una configuración más restrictiva.

Para founders, responsables de IT y equipos de seguridad en Europa, el caso sirve también como recordatorio de que las dependencias de terceros y el uso de grandes plataformas deben auditarse periódicamente. No se trata solo de lo que se hace dentro de la propia aplicación, sino de cómo las herramientas que se usan a diario (como LinkedIn) interactúan con el entorno de navegador de empleados y directivos.

En definitiva, BrowserGate ha puesto bajo los focos hasta qué punto una red profesional puede llegar a monitorizar el ecosistema digital de sus usuarios en nombre de la seguridad. LinkedIn sostiene que el escaneo de extensiones y la recolección de señales del dispositivo son necesarios para frenar el scraping y el abuso automatizado, mientras que asociaciones europeas y medios especializados alertan de que se está cruzando una línea delicada en términos de privacidad y transparencia. El resultado es un nuevo capítulo en la tensión entre seguridad, negocio y derechos digitales dentro del mercado único europeo, que probablemente seguirá dando que hablar en los próximos meses tanto en despachos de Bruselas como en los navegadores de millones de profesionales.

Artículo relacionado:
Mejores extensiones de Chrome que no pueden faltar