LinkedIn inyectó código malicioso para espiar a millones de usuarios

LinkedIn inyectó código malicioso para espiar a millones de usuarios

La red social profesional LinkedIn ejecutó durante años una operación de vigilancia encubierta sobre sus usuarios.

Una investigación de la asociación Fairlinked eV reveló que la plataforma inyectó código JavaScript malicioso en los navegadores de quienes accedieron a su sitio.

 

Esta práctica permitió a la empresa, propiedad de Microsoft, escanear más de 6.000 extensiones en busca de herramientas de software empresarial, un movimiento que los investigadores calificaron como una operación de espionaje masiva e ilegal denominada BrowserGate.

 

El informe detalló que el código se utilizó para recopilar datos de los dispositivos y enviarlos a los servidores de la compañía sin el conocimiento ni el consentimiento de los afectados.

 

Esta actividad alcanzó a una base de más de 405 millones de personas y experimentó un crecimiento agresivo en los últimos meses.

 

Entre 2017 y 2024, LinkedIn añadió unas 60 extensiones anuales a su lista de rastreo; sin embargo, entre 2024 y finales de 2025, la cifra se disparó hasta alcanzar casi 5.000 herramientas monitoreadas.

 

 

Respuesta a la regulación europea

Los investigadores identificaron el motivo de esta aceleración en la Ley de Mercados Digitales de la Unión Europea.

 

Aunque la normativa obligó a LinkedIn a abrir su platafrma a herramientas de terceros en 2023, la empresa respondió con una expansión masiva de su sistema de vigilancia.

 

En lugar de permitir la interoperabilidad, la red social rastreó precisamente aquellas aplicaciones que la regulación pretendía proteger, con el fin de consolidar su control sobre el mercado de prospección y ventas.

 

El espionaje no solo se limitó a competidores comerciales. Las extensiones detectadas incluyeron herramientas de seguridad, VPN, bloqueadores de anuncios y software específico para personas con discapacidad o neurodivergencia.

 

Al cruzar estos datos con la identidad real, el cargo y la empresa de cada perfil, LinkedIn obtuvo información sensible sobre opiniones políticas, creencias religiosas y secretos corporativos de los empleados.

 

El informe incidió en que la política de privacidad de LinkedIn omitió cualquier mención al escaneo de extensiones.

 

Ningún documento público, página de ayuda o recurso para desarrolladores notificó a los usuarios sobre esta práctica.

 

La plataforma ocultó la ejecución del código malicioso, lo que impidió que los millones de profesionales que utilizan el servicio pudieran ejercer su derecho a la privacidad.

 

Con esta revelación, la red social enfrentó una de las crisis de reputación más graves de su historia, al demostrarse que utilizó su infraestructura para mapear el comportamiento técnico de sus usuarios con fines de inteligencia comercial y control de mercado.

 

 

ComputerHoy

Comparte esta noticia: