LinkedIn inspecciona 2,953 extensiones del navegador

 (github.com/mdp)
1 puntos por GN⁺ 2026-02-06 | 1 comentarios | Compartir por WhatsApp
  • El sitio web de LinkedIn detecta la presencia de 2,953 extensiones de Chrome cada vez que carga una página
  • El repositorio documenta todos los IDs y nombres de extensiones, junto con sus enlaces a Chrome Web Store, que LinkedIn verifica
  • De todas las extensiones, alrededor del 78% se identifican en Chrome Web Store y aproximadamente el 22% mediante Extpose
  • El script proporcionado (fetch_extension_names.js) recopila automáticamente los nombres de las extensiones, y para las eliminadas hace una consulta alternativa en Extpose
  • Estos datos muestran la escala con la que un sitio web puede identificar las extensiones del navegador de un usuario

Huella digital de extensiones de Chrome en LinkedIn

  • LinkedIn revisa en secreto 2,953 extensiones de Chrome en cada carga de página
    • Este proceso se realiza como una forma de fingerprinting para identificar las extensiones instaladas en el navegador del usuario
  • El repositorio incluye la lista completa de extensiones que LinkedIn inspecciona y las herramientas relacionadas
    • En el archivo chrome_extensions_with_names_all.csv se organizan el ID de la extensión, el nombre y el enlace a Chrome Web Store o Extpose

Estructura de los datos

  • El archivo de datos incluye tres columnas: Extension ID, Name y URL
    • El Extension ID es un identificador de 32 caracteres, y la URL dirige a Chrome Web Store o a un enlace de Extpose
  • La lista completa puede consultarse en el archivo chrome_extensions_with_names_all.csv

Scripts

  • fetch_extension_names.js obtiene los nombres de las extensiones desde Chrome Web Store y, si fueron eliminadas o no se puede acceder a ellas, hace una consulta alternativa mediante Extpose
    • Ejemplos de comandos: node fetch_extension_names.js, node fetch_extension_names.js --offset 0 --limit 500
  • test_fetch.js procesa las primeras 3 extensiones y puede probarse en modo verbose con salida detallada

Estadísticas

  • La lista de fingerprinting de LinkedIn incluye un total de 2,953 extensiones
  • De ellas, alrededor del 78% se identifican en Chrome Web Store y aproximadamente el 22% mediante Extpose

Archivos fuente

  • chrome_extension_ids.txt : lista sin procesar de IDs de extensiones extraída de fingerprint.js de LinkedIn
  • fingerprint.js : script para detectar extensiones (versión reducida) incluido en las páginas de LinkedIn
  • fetch_extension_names.js : script auxiliar para recopilar automáticamente los nombres de las extensiones

Resumen

  • LinkedIn está inspeccionando información sobre extensiones del navegador a gran escala, y este repositorio publica de forma transparente la lista completa y el método de recopilación

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-06
Opiniones en Hacker News

  • Firefox parece ser inmune a este problema
    Chrome expone los recursos web accesibles de las extensiones con el formato chrome-extension://[PACKAGE ID]/[PATH],
    mientras que Firefox usa algo como moz-extension://<extension-UUID>/myfile.png.
    En este caso, <extension-UUID> se genera aleatoriamente en cada navegador para evitar que los sitios hagan fingerprinting del navegador a partir de las extensiones instaladas
    Documentación relacionada: documentación de Chrome, documentación de Firefox

    • Decían que usar un navegador con menos del 5% de cuota de mercado te hacía perderte la web moderna, pero resulta que hasta tiene esta ventaja de seguridad; qué ironía
    • A veces el ventilador de mi computadora se pone como loco, y casi siempre es por tener Firefox con una pestaña de LinkedIn abierta. Me pregunto si estará minando criptomonedas o si simplemente es ineficiente
    • Si el ID de la extensión cambia según el navegador, ¿no termina identificándose al usuario en lugar del navegador?
      ¿No pasa de “este navegador tiene las extensiones X, Y, Z” a “este es el navegador de Jim Bob”?

  • Si ves la lista de extensiones, la mayoría están relacionadas con scraping de datos de LinkedIn o automatización
    Incluso cuando trabajaba en LinkedIn ese abuso era fuerte, y aunque habíamos creado sistemas internos de detección y prevención bastante sofisticados, era una pelea interminable

    • Si LinkedIn armó una fuente de datos para hacer fingerprinting de extensiones, es muy probable que alguien (¿LinkedIn quizá?) haya scrapeado Chrome Web Store.
      Eso podría incluso violar los TOS de Chrome Web Store
    • Viendo la lista, no parece muy sofisticado. Da la impresión de que solo filtraron extensiones con “email” en el nombre, y la mayoría ni siquiera tienen permiso de acceso a linkedin.com
    • Puede ser un problema para LinkedIn, pero el verdadero problema son las empresas como LinkedIn que hacen intermediación de datos
    • Por el código, no parece que hagan nada cuando hay coincidencia; más bien solo guardan el resultado en un CSV para usarlo como datos de fingerprinting
    • Hace tiempo hice scraping de LinkedIn por encargo de un cliente, y fue una experiencia bastante interesante

  • Chrome ya parece el nuevo IE6
    Google se convirtió en el próximo Microsoft y va en una dirección cada vez más amigable con la publicidad.
    Da la impresión de que ha contribuido más a debilitar los bloqueadores de anuncios y permitir malware que a mejorar la seguridad

    • Estoy de acuerdo en que Chrome es spyware, pero igual es cierto que fue de los primeros en introducir funciones de seguridad como Site Isolation y sandboxing.
      Tampoco está mal en velocidad de parches ni en pruebas de seguridad
    • El Chrome de hoy es mucho peor que IE6. Microsoft al menos no se dedicaba a rastrear usuarios ni a vender anuncios
    • Quien controla la publicidad controla internet
    • Google ya es un monopolio, y todos los monopolios terminan volviéndose así
    • Si en 2026 todavía hay gente usando Chrome, de verdad serán desarrolladores valientes

  • Si abres LinkedIn y presionas F12, el contador de errores sigue subiendo
    La captura de pantalla puede verse aquí

    • Si el enlace de X está bloqueado, también se puede ver con este enlace de xcancel

  • Hace poco resumí en un blog las técnicas de detección de extensiones de LinkedIn y otros métodos con menos efectos secundarios
    Post del blog de Castle

    • Si parcheas Firefox para que navigator.webdriver siempre sea false, se puede controlar de forma remota.
      Es difícil de detectar, pero todavía se puede identificar por los patrones de velocidad de entrada
    • Me pareció interesante leerlo porque el contenido del artículo coincide exactamente con este tema

  • Hace unos meses escribí un artículo relacionado.
    Explicaba por qué esto es posible y también cómo prevenirlo
    Enlace al artículo

    • Me pregunto si en el texto también se explica por qué LinkedIn hace esto, o si solo habla de la posibilidad técnica

  • Últimamente LinkedIn está usando muchos dark patterns raros

    • En Firefox cambia a la fuerza la velocidad de desplazamiento
    • En la web móvil, si ves un perfil y luego vuelves atrás, siempre te redirige a la página principal
    • Las URL de analítica se generan con rutas aleatorias para evadir bloqueos
      Me pregunto si alguien sabe por qué se comportan así
    • Parece que LinkedIn está en guerra total con la industria de las bases de datos de contactos, así que estaría usando este tipo de tácticas.
      Desde scraping web hasta trabajo manual con personas contratadas, están aplicando diversas estrategias defensivas

  • Este método ya se conocía desde 2019
    Post del blog de Nymeria

  • La lista de extensiones que LinkedIn escanea está clara, pero resulta más interesante ver cuáles no escanea
    Por ejemplo, “Contact Out” se podría escanear, pero LinkedIn parece ignorarlo.
    Da para sospechar si no hubo algún arreglo por debajo de la mesa
    Enlace a la extensión Contact Out

    • Esa extensión no declara recursos accesibles por content en el manifest, así que no se le puede hacer fingerprinting
    • Curiosamente, LinkedIn tampoco bloquea cosas como la extensión de Claude o Dassi AI. Me pregunto por qué

  • Dice que “este repositorio documenta todas las extensiones que LinkedIn inspecciona y ofrece una herramienta para identificarlas”,
    pero me pregunto cómo confirmaron que LinkedIn realmente revisa esos ID.
    Y también quiero saber si esto afecta a usuarios que no usan Chrome

    • Hace unas semanas un proveedor publicó un análisis técnico de cómo lo hace LinkedIn,
      presumiendo que su propio enfoque es “más silencioso, menos visible y más fácil de ejecutar a escala”
      Post del blog de Castle