LinkedIn está buscando las extensiones del navegador de los usuarios

 (browsergate.eu)
2 puntos por GN⁺ 27 일 전 | 1 comentarios | Compartir por WhatsApp
  • Se confirmó que LinkedIn escanea en secreto las extensiones del navegador de los usuarios y envía los resultados a sus propios servidores y a servidores de terceros
  • Este proceso se ejecuta sin consentimiento ni aviso al usuario y no está especificado en la política de privacidad de LinkedIn
  • Entre los objetivos del escaneo se incluyen extensiones que pueden revelar información sensible como posturas políticas, religión, discapacidad y actividad de búsqueda de empleo
  • A través de esto, LinkedIn puede identificar empresas que usan productos de la competencia, y ha habido casos en los que amenazó con sanciones a usuarios de herramientas de terceros
  • Fairlinked e.V. lo califica como una violación masiva de la privacidad y espionaje corporativo, y está impulsando acciones legales y denuncias públicas

Sospechas de búsqueda ilegal de extensiones del navegador por parte de LinkedIn

  • Se confirmó que LinkedIn buscó en secreto las extensiones del navegador instaladas en las computadoras de los usuarios y envió los resultados a sus propios servidores y a servidores de terceros
    • Este código se ejecuta sin consentimiento ni aviso al usuario, y la política de privacidad de LinkedIn no menciona nada al respecto
    • Los datos recopilados también se envían a terceros como HUMAN Security (antes PerimeterX)
  • LinkedIn posee información como nombre real, empresa y cargo del usuario, por lo que no realiza el escaneo sobre visitantes anónimos, sino sobre personas y empresas identificables
    • Como resultado, se crea una estructura en la que todos los días se recopila información interna de millones de empresas en todo el mundo
    • Según la investigación, esta conducta podría ser ilegal o constituir un delito penal en todas las jurisdicciones revisadas

Entidad investigadora y objetivo

  • Fairlinked e.V. es una asociación de usuarios comerciales de LinkedIn que representa a profesionales, empresas y desarrolladores de herramientas que dependen de la plataforma
  • BrowserGate es la investigación y campaña realizada por esta organización, cuyo objetivo es documentar un caso de espionaje corporativo masivo y violación de la privacidad, informar al público y a los organismos reguladores, y reunir pruebas y recaudar fondos para una respuesta legal

Hallazgos principales

  • Violación masiva de la privacidad

    • El escaneo de LinkedIn detecta extensiones que pueden revelar la religión, inclinación política, condición de discapacidad o actividad de búsqueda de empleo del usuario
    • Algunos ejemplos incluyen extensiones para personas de fe musulmana, extensiones relacionadas con inclinación política, herramientas para usuarios neurodivergentes y 509 extensiones relacionadas con la búsqueda de empleo
    • Estos datos pertenecen a categorías cuya recopilación está prohibida por la legislación de la UE, y LinkedIn lo habría hecho sin consentimiento, sin divulgación y sin base legal

  • Espionaje corporativo y apropiación de secretos comerciales

    • LinkedIn escaneó más de 200 productos que compiten con sus propias herramientas comerciales, como Apollo, Lusha y ZoomInfo
    • Mediante la información del empleador del usuario, puede identificar qué empresa usa qué producto competidor, lo que termina equivalendo a extraer sin autorización las listas de clientes de miles de empresas de software
    • Ha habido casos en los que LinkedIn usó estos datos para enviar amenazas de sanción a usuarios de herramientas de terceros

  • Evasión de la regulación de la UE

    • En 2023, la UE designó a LinkedIn como gatekeeper bajo la Digital Markets Act (DMA) y le ordenó permitir el acceso a herramientas de terceros
    • En respuesta, LinkedIn publicó dos API limitadas, pero estas apenas alcanzan 0.07 llamadas por segundo
    • En cambio, su API interna Voyager opera con 163,000 llamadas por segundo y alimenta todos sus productos web y móviles
    • En el informe de Microsoft a la UE, de 249 páginas, “API” aparece 533 veces, pero “Voyager” no se menciona ni una sola vez
    • Al mismo tiempo, LinkedIn amplió el alcance de la vigilancia, expandiendo la lista de escaneo de unos 461 productos en 2024 a más de 6,000 para febrero de 2026
    • Cuando la UE exigió abrir el acceso a herramientas de terceros, LinkedIn construyó un sistema para vigilar y castigar a los usuarios

  • Transferencia de datos a terceros

    • LinkedIn carga elementos invisibles de rastreo (de 0 píxeles) de HUMAN Security y establece cookies sin que el usuario lo perciba
    • Desde los propios servidores de LinkedIn se ejecutan scripts de fingerprinting, y scripts de Google también se activan en cada carga de página
    • Todas estas transferencias de datos están cifradas y no se divulgan externamente

Solicitud de apoyo

  • Microsoft cuenta con 33,000 empleados y un presupuesto legal de 15 mil millones de dólares
  • Fairlinked ha asegurado pruebas, pero necesita personal y apoyo financiero para emprender acciones legales
  • A través del sitio web, pide acciones como participación, apoyo económico y filtraciones a la prensa

Lecturas relacionadas

1 comentarios

 
GN⁺ 27 일 전
Comentarios en Hacker News

  • El título parece algo exagerado
    En realidad, la estructura es que cada vez que se abre LinkedIn en un navegador basado en Chrome, JavaScript escanea silenciosamente las extensiones del navegador instaladas, cifra el resultado y lo envía al servidor
    Esto puede parecer invasivo, pero se ve como una forma de fingerprinting del navegador que hoy en día es común en sitios web con código publicitario
    Aun así, que consulten uno por uno IDs específicos de extensiones probablemente se deba a limitaciones de la API
    Es problemático, pero no estoy de acuerdo con presentarlo de una forma excesivamente alarmista
    Por eso uso bloqueador de anuncios

    • ¿No equivale explorar extensiones del navegador a escanear la computadora?
      Chrome aleatorizó extensionId en V3 precisamente para impedir este tipo de prácticas
      Si LinkedIn incluyó incluso extensiones relacionadas con ciertas religiones en su lista, entonces no parece una simple razón técnica sino una decisión deliberada
    • Creo que el problema es la propia actitud de considerar esto algo “esperable”
      Un bloqueador de anuncios no es una defensa perfecta, y la extracción de información y manipulación del comportamiento siguen apareciendo de nuevas maneras
    • Sorprende vivir en un mundo donde hasta el FBI recomienda usar bloqueadores de anuncios
      Pero si todo el mundo realmente lo hiciera, se derrumbaría una parte importante de la economía de internet
      Es irónico que el FBI esté diciendo: “protégete por tu cuenta de la forma de hacer negocios de la tercera empresa más grande del mundo”
    • No veo absolutamente ninguna razón por la que LinkedIn deba mirar mis extensiones
      Hay que oponerse con firmeza a este tipo de prácticas
    • Esto ya se ha analizado mediante ingeniería inversa varias veces
      La lista de extensiones que revisa LinkedIn está compuesta en su mayoría por herramientas para spam y scraping, y no incluye bloqueadores de anuncios comunes
      Como no hace falta fingerprinting para usuarios que ya iniciaron sesión, es muy probable que el objetivo sea simplemente detectar herramientas de automatización

  • Esta es la postura oficial de LinkedIn
    Dicen que la cuenta de quien hizo la denuncia está restringida por scraping y violaciones de los términos, y que está difundiendo afirmaciones falsas como represalia
    LinkedIn explica que detecta extensiones de extracción no autorizada de datos para proteger los datos de los miembros y la estabilidad del sitio
    Las extensiones exponen URLs fijas de recursos, por lo que se puede verificar su presencia, y aseguran que eso es algo visible incluso desde la consola de desarrollador
    Afirman que estos datos solo se usan para detectar violaciones de términos y mejorar defensas técnicas, y no para inferir información sensible
    También añaden que tribunales alemanes fallaron a favor de LinkedIn

    • Ningún propósito puede justificar una invasión de la privacidad
      Si existe el riesgo de exponer la orientación política, religiosa o sexual de un usuario, eso es mucho más grave que hacer cumplir unos términos de servicio
      Bastaría con bloquear cuentas con tráfico excesivo; no entiendo por qué recurrir a un método tan invasivo
      También recuerda que, en sus primeros años de crecimiento, LinkedIn ya raspaba libretas de direcciones de usuarios sin permiso para enviar correos
    • Me gustaría saber si LinkedIn puede publicar esa supuesta lista de extensiones maliciosas
    • Hay reacciones diciendo que cuesta confiarles porque solo hacen afirmaciones sin aportar pruebas
    • Microsoft y LinkedIn ya han mentido antes sobre la recolección de datos, así que es difícil creerles
    • También hay una reacción sarcástica preguntando si Microsoft, que invirtió en OpenAI, tiene autoridad moral para criticar la infracción de propiedad intelectual

  • Yo ni siquiera tengo cuenta de LinkedIn, pero habían creado un perfil falso con mi nombre
    Aparecía vinculado a la empresa donde estoy haciendo consultoría, y cuando envié un correo de reclamo, LinkedIn me confirmó por mail que lo había eliminado
    Hay que tener cuidado porque LinkedIn puede crear perfiles automáticamente incluso si no tienes cuenta

    • Me pregunto cómo puede pasar algo así
      No queda claro si la empresa sube listados de empleados, si es por integración con cuentas de Microsoft, o cuál es la vía exacta
      También quisiera saber si existe un procedimiento para reclamar o eliminar ese perfil
    • También podría haber sido una cuenta fraudulenta haciéndose pasar por la persona real
      Desde que se expandió el trabajo remoto, estos casos han aumentado, y como basta con cobrar unas cuantas veces para sacar ganancia, ocurren con frecuencia
    • Este caso quizá sea la única pista que explica por qué LinkedIn actúa así

  • Hace apenas unos años este tipo de fingerprinting no autorizado se consideraba spyware
    Lo que LinkedIn hace ahora con “spectroscopy” combina detección de extensiones con análisis de residuos del DOM
    Es difícil de bloquear incluso con bloqueadores de anuncios, y salir de Chrome tampoco ofrece una defensa completa
    Al final, lo que hace falta es un modo de privacidad real a nivel del fabricante del navegador

    • En realidad, servicios como reCAPTCHA llevan más de 15 años usando fingerprinting del navegador
      La detección de extensiones no es tan común, pero el fingerprinting en sí ya es una práctica antigua
      Probé la vulnerabilidad de mi navegador en fingerprint.com/demo
    • Microsoft siempre ha hecho esto de afianzar en el mercado productos inferiores
      Lo mismo con Windows, Office, SharePoint y LinkedIn

  • Que LinkedIn detecte incluso extensiones como filtros de contenido islámico, etiquetas antisionistas o herramientas de apoyo para neurodiversidad supone una grave ruptura de confianza

    • Es muy probable que muchas de esas extensiones en realidad sean extensiones maliciosas para robar datos
      Por fuera parecen herramientas sobre temas sociales o de accesibilidad, pero internamente muchas terminan extrayendo datos del usuario
    • Este tipo de práctica no es solo cosa de Microsoft; es parte del targeting publicitario y del fingerprinting
      La erosión de la confianza lleva décadas extendiéndose por internet
    • Creo que estas ideas no nacen de un ejecutivo malvado, sino de empleados que pusieron el dinero por encima de la moral
    • Al ver la lista de extensiones detectadas por LinkedIn, aparecen muchas que revelan inclinaciones políticas, como “Anti-woke”, “Vote With Your Money” y “No more Musk”

  • Me parece problemático que un sitio web pueda detectar extensiones específicas
    Si hubiera una necesidad legítima, la extensión debería poder elegir en qué sitios revelarse

    • En la práctica, las extensiones están configuradas para activarse solo en ciertos sitios, y su existencia se puede comprobar mediante archivos de recursos públicos expuestos en ese momento
      LinkedIn está escaneando más de 6000 extensiones de esta manera
      Antes eran unas 100, pero ahora la escala se ha vuelto mucho más agresiva

  • Yo separo el navegador personal y el de trabajo usando cgroup y jail distintos
    La configuración es engorrosa, pero da tranquilidad porque no se mezclan la privacidad y los datos laborales
    Como mínimo, recomiendo separar dos perfiles: uno público y otro privado
    No me gusta que Microsoft sepa si tengo instalada una extensión como “Otaku Neko StarBlazers Tru-Fen Extendomatic”

    • Yo también tengo un perfil aparte de Firefox para adultos
    • También hubo quien dijo que fue a buscar si esa extensión existía de verdad
    • Qubes OS encaja muy bien con este tipo de entornos separados. Lo uso a diario y lo recomiendo mucho

  • Todo este caso termina mostrando un fracaso del sandbox de Chrome
    Una solución técnica podría ser más simple y efectiva que la regulación legal

    • Las extensiones de Chrome exponen archivos internos mediante manifest.json y web_accessible_resources
      LinkedIn aprovecha esta estructura para comprobar la instalación mediante solicitudes fetch
      Queda la duda de si eso fue un diseño intencional
    • Según este comentario relacionado, no es un problema tan simple
    • También es un problema que los desarrolladores de Chrome no parezcan tener mucha motivación para evitar el rastreo
      La defensa técnica y la indignación ética deben ir de la mano

  • No hay motivos para confiar en las grandes tecnológicas
    Para proteger la privacidad hay que usar la función de contenedores del navegador
    La extensión LinkedIn Container que hice aísla la actividad de LinkedIn en Firefox
    Pienso mejorarla para que también bloquee estos intentos de escaneo de LinkedIn

  • Todo esto da miedo, pero al mismo tiempo resulta técnicamente sorprendente que JavaScript pueda procesar en paralelo más de 6000 fetch
    Que se logre esta eficiencia incluso sin pasar por el stack de red muestra cuánto ha avanzado JS