- Una investigación de Fairlinked eV denuncia que LinkedIn habría inyectado código JavaScript malicioso en los navegadores de sus usuarios sin informarles.
- El sistema habría escaneado más de 6.000 extensiones instaladas y afectado potencialmente a más de 400 millones de personas.
- La práctica se habría intensificado tras la Ley de Mercados Digitales de la UE, vinculada a la apertura de plataformas a herramientas de terceros.
- El escaneo permitiría inferir datos sensibles (opiniones políticas, religión, salud o secretos corporativos) que no se mencionan en la política de privacidad.
LinkedIn se ha visto envuelta en una polémica de gran calado en materia de privacidad tras la publicación de una investigación que la acusa de haber manipulado, durante años, los navegadores de sus usuarios para espiar extensiones instaladas sin avisarles. La práctica, de confirmarse, afectaría tanto a profesionales y empresas europeas como al resto del mundo.
El caso, bautizado como “BrowserGate” por la asociación Fairlinked eV, plantea dudas serias sobre los límites del seguimiento digital en una red profesional que exige identidad real. La organización afirma que LinkedIn habría recurrido a código JavaScript camuflado para recopilar información muy sensible, desde herramientas de trabajo hasta posibles creencias o inclinaciones políticas.
Qué es BrowserGate y quién está detrás de la denuncia
La investigación parte de Fairlinked eV, una asociación que agrupa a usuarios comerciales de LinkedIn preocupados por el uso que la plataforma hace de sus datos. En su informe, describen BrowserGate como una “operación de espionaje masiva, global e ilegal” dirigida a quienes acceden a la red social profesional.
Según el documento, LinkedIn, propiedad de Microsoft y principal red social profesional a escala mundial, habría inyectado de forma sistemática código JavaScript en el navegador de cada persona que entra en la plataforma. Este código se ejecutaría de manera silenciosa, sin ventanas emergentes ni avisos visibles para el usuario.
Fairlinked eV sostiene que esta inyección de código se habría producido sin conocimiento ni consentimiento de los afectados, algo especialmente delicado en el contexto europeo, donde el Reglamento General de Protección de Datos (RGPD) exige transparencia y bases jurídicas claras para cualquier tratamiento de información personal.
El informe sitúa este comportamiento en un periodo de varios años y apunta a que la práctica seguía activa hasta, al menos, finales de 2025. La organización ha presentado el caso como una alerta a reguladores y autoridades de protección de datos, especialmente en la Unión Europea.
Código malicioso en el navegador: cómo habría operado el sistema
De acuerdo con la investigación, LinkedIn habría utilizado fragmentos de JavaScript catalogados como «maliciosos» por su finalidad de vigilancia, incrustados en el código que se carga cuando un usuario visita la web o utiliza ciertas funciones de la plataforma.
Este JavaScript, una vez ejecutado en el navegador, se habría encargado de localizar y escanear las extensiones instaladas, identificando soluciones de software, categorías de uso y características técnicas del dispositivo. La información recopilada se enviaría posteriormente a los servidores de LinkedIn para su análisis.
Los datos técnicos obtenidos incluirían, según el informe, listados de extensiones activas, tipos de herramientas empleadas y posibles patrones de uso. Aunque no se detalla el código fuente en el material difundido públicamente, Fairlinked eV insiste en que se trata de un sistema diseñado con vocación de rastreo a gran escala.
Este tipo de análisis de extensiones no es algo que los usuarios suelan tener en mente cuando inician sesión en una red social profesional; por ello conviene saber cómo cerrar sesión en LinkedIn desde el móvil. La asociación subraya que LinkedIn no habría informado en ningún momento de que, simplemente por acceder, se estaba ejecutando un escaneo silencioso en sus navegadores.
Más de 6.000 extensiones analizadas y más de 400 millones de usuarios afectados
Las cifras que maneja el informe llaman la atención por su magnitud. Fairlinked eV calcula que el sistema de escaneo de LinkedIn ha llegado a analizar más de 6.000 extensiones de navegador diferentes, abarcando un abanico muy amplio de herramientas digitales.
La base de usuarios potencialmente impactados superaría los 405 millones de personas en todo el mundo, de acuerdo con los datos recopilados por la asociación. En este grupo se incluirían numerosos perfiles de España y otros países de la Unión Europea, donde LinkedIn es una herramienta habitual para búsqueda de empleo, networking y actividad comercial.
El ritmo de ampliación del sistema también muestra una aceleración notable. Entre 2017 y 2024, LinkedIn habría ido añadiendo en torno a 60 nuevas extensiones al año a su radar. Sin embargo, a partir de 2024 el volumen se disparó.
Solo desde 2024 hasta diciembre de 2025, el número de extensiones añadidas habría rozado las 5.000 incorporaciones adicionales. Esta subida repentina es uno de los elementos que más ha llamado la atención a los investigadores, que vinculan este cambio con el nuevo marco regulatorio europeo.
Relación con la Ley de Mercados Digitales de la Unión Europea
Fairlinked eV relaciona directamente esta evolución con la aplicación de la Ley de Mercados Digitales (DMA, por sus siglas en inglés) en la Unión Europea. Esta normativa identifica a ciertos servicios digitales como “guardianes de acceso” (gatekeepers) y les exige, entre otras cosas, favorecer la interoperabilidad y no bloquear herramientas de terceros.
LinkedIn fue designada como uno de esos guardianes en 2023 por parte de las autoridades europeas, lo que la obliga a adaptar su funcionamiento, abrir interfaces y permitir que aplicaciones externas interactúen con su plataforma sin trabas injustificadas.
Según la asociación, la respuesta de la compañía no habría sido una apertura real, sino una expansión masiva de la vigilancia sobre las mismas herramientas que precisamente la DMA busca proteger. Es decir, en lugar de limitarse a garantizar compatibilidad, el sistema de LinkedIn habría empezado a monitorizar con mayor intensidad el ecosistema de software con el que convive.
Este cruce entre obligaciones regulatorias y prácticas de rastreo abre un frente delicado para la compañía, ya que podría interpretarse como un intento de mantener el control competitivo sobre su entorno a costa de la privacidad de los usuarios, incluido el tejido empresarial europeo.
Tipos de extensiones vigiladas: de herramientas de trabajo a creencias personales
Uno de los aspectos más sensibles del informe tiene que ver con las categorías de extensiones que LinkedIn habría estado rastreando. Fairlinked eV describe una lista muy heterogénea de herramientas monitorizadas, que van mucho más allá de los típicos complementos de productividad.
Entre las categorías señaladas se encuentran extensiones específicas para LinkedIn (como utilidades para optimizar perfiles o automatizar tareas en la plataforma) y herramientas de competidores en el ámbito de ventas y prospección comercial. Es decir, aplicaciones utilizadas para encontrar clientes, gestionar contactos o analizar oportunidades de negocio.
El escaneo también abarcaría plataformas y complementos de búsqueda de empleo, lo que permitiría inferir si un profesional está explorando nuevas oportunidades laborales. En el entorno europeo, donde muchos trabajadores dependen de estos servicios para moverse en el mercado de trabajo, esta información puede tener un valor especialmente estratégico.
En el terreno de la seguridad, el sistema habría identificado extensiones como VPN, bloqueadores de anuncios y herramientas de protección. Este tipo de complementos pueden revelar si una persona o una empresa está tratando de reforzar su privacidad, esquivar rastreos publicitarios o implementar medidas de ciberseguridad más estrictas.
Más preocupante aún es que el informe menciona extensiones relacionadas con creencias religiosas, posiciones políticas o necesidades específicas de personas con discapacidad y neurodivergencias. La simple presencia de estas herramientas ya permite extraer conclusiones sobre la esfera más personal de los usuarios.
Qué información sensible puede inferirse del escaneo
El problema no es solo qué extensiones se detectan, sino qué puede deducirse a partir de ellas. Dado que LinkedIn funciona con identidades reales —nombre, empresa, cargo y trayectoria profesional—, el cruce con la lista de complementos instalados ofrece una imagen muy detallada del usuario.
Según Fairlinked eV, esta combinación de datos permitiría desvelar opiniones políticas, creencias religiosas o afiliaciones ideológicas a través de extensiones vinculadas a partidos, campañas o comunidades concretas. Algo que, en la normativa europea, se considera información especialmente protegida.
El uso de herramientas de búsqueda de empleo o plataformas de reclutamiento podría dar pistas sobre el estado laboral, intención de cambiar de trabajo o posibles situaciones de inestabilidad. En un entorno profesional, este tipo de detalles pueden ser muy valiosos, pero también muy delicados.
Asimismo, la presencia de ciertas extensiones para accesibilidad o apoyo cognitivo puede dejar entrever discapacidades, neurodivergencias u otras condiciones de salud. Y, a nivel empresarial, la detección de software específico puede apuntar a secretos comerciales, tecnologías utilizadas y estrategias internas de compañías que operan en España y el resto de Europa.
La combinación de todos estos elementos convierte el supuesto sistema de LinkedIn en una herramienta de perfilado extremadamente poderosa, capaz de ir mucho más allá de la información que los usuarios introducen de forma voluntaria en su perfil.
Falta de transparencia y posibles implicaciones legales
Más allá del componente técnico, el informe insiste en un punto clave: la ausencia total de información a los usuarios sobre estas prácticas. Fairlinked eV afirma que la política de privacidad de LinkedIn no incluye ninguna mención al escaneo de extensiones del navegador.
Tampoco habría referencia a este comportamiento en documentación pública, páginas de ayuda ni recursos para desarrolladores. Es decir, quienes utilizan la plataforma no tendrían forma sencilla de saber que, al iniciar sesión, se está ejecutando un análisis de las extensiones instaladas en su navegador.
Desde la óptica del RGPD y de las leyes de protección de datos europeas, esta opacidad es uno de los aspectos más problemáticos. El tratamiento de información que permita inferir ideología, religión o salud requiere bases legales sólidas y, en muchos casos, un consentimiento explícito, informado y verificable.
Fairlinked eV presenta BrowserGate como un posible caso de vigilancia encubierta en el ámbito profesional, que combinaría un uso extensivo de tecnología de rastreo con una falta de transparencia frente a los afectados. Esta combinación podría llamar la atención de autoridades como la Comisión Europea o las agencias nacionales de protección de datos.
Por ahora, LinkedIn no ha hecho públicas aclaraciones detalladas sobre las acusaciones recogidas en el informe, lo que mantiene el debate abierto y deja en el aire qué medidas se tomarán, tanto a nivel de empresa como desde el lado regulador.
Impacto para profesionales y empresas en España y Europa
En el contexto europeo, y muy especialmente en mercados como el español, LinkedIn se ha convertido en una herramienta casi obligatoria para buscar trabajo, hacer networking o captar clientes. Eso significa que buena parte de la actividad profesional digital pasa por esta plataforma.
Si se confirma la práctica descrita en BrowserGate, muchos usuarios en España podrían verse afectados sin haber sido conscientes de ello. Perfiles de directivos, responsables de recursos humanos, técnicos de ciberseguridad o consultores que manejan información sensible habrían estado trabajando con un navegador sometido a un nivel de observación extra.
Para las empresas europeas, el potencial acceso a información sobre software interno, estrategias comerciales o herramientas de competencia supone un elemento adicional de riesgo. No se trata solo de datos personales, sino también de conocimiento corporativo estratégico.
Este caso llega en un momento en el que la ciberseguridad y la protección de datos corporativos han escalado posiciones en la agenda de muchas organizaciones, que ya ven con recelo otras formas de rastreo como las cookies de terceros o los píxeles de seguimiento.
Todo ello podría impulsar a compañías y usuarios a revisar su configuración de extensiones, políticas internas de uso de navegadores y dependencia de plataformas centralizadas para su actividad profesional diaria, especialmente en sectores más regulados o con información especialmente sensible.
El escenario que dibuja BrowserGate coloca a LinkedIn bajo un foco incómodo: una red que se presenta como imprescindible para la vida profesional moderna, acusada de aprovechar esa posición para realizar un escaneo masivo y silencioso de extensiones de navegador. A la espera de explicaciones oficiales y posibles actuaciones de las autoridades europeas, el caso reabre el debate sobre hasta qué punto es razonable que una plataforma, por muy útil que sea para trabajar y hacer contactos, pueda convertir el navegador de sus usuarios en una fuente inagotable de datos sobre su vida laboral, sus creencias y sus decisiones más personales.