Una investigación independiente ha revelado que LinkedIn, la red social profesional propiedad de Microsoft, ejecuta un escaneo oculto en los ordenadores de sus usuarios para detectar el software instalado, una práctica no divulgada en su política de privacidad y realizada sin el conocimiento o consentimiento de las personas.
El hallazgo, expuesto por investigadores de privacidad de browsergate.eu, contrasta con la agresiva postura legal que la plataforma mantiene para proteger esos mismos datos de usuarios frente a terceros.
LinkedIn, con más de mil millones de usuarios, se ha posicionado como un bastión en la defensa de la información de sus miembros frente a prácticas externas de recolección de datos, conocidas como scraping.
Recientemente, la compañía ganó una importante batalla judicial contra una empresa que extraía datos de perfiles públicos. Además, tiene una política activa de denunciar estas prácticas, como muestra la demanda presentada contra ProAPIs por el uso de un millón de cuentas falsas para raspar información.
Esta defensa legal enérgica genera una expectativa de transparencia y protección hacia el usuario. Sin embargo, la reciente investigación saca a la luz una operación de recolección de datos iniciada por la propia plataforma, dirigida hacia dentro, hacia los dispositivos de las personas que confían en su servicio.
Según el informe de browsergate.eu, cada vez que un usuario visita linkedin.com, se ejecuta un código oculto que realiza las siguientes acciones, sin solicitar permiso:
- El sistema busca activamente la presencia de más de 6,000 productos de software diferentes en el ordenador del usuario. Esta cifra ha sido corroborada por la revisión técnica de Byteiota.
- La información recogida sobre el software detectado se envía a los servidores de LinkedIn. La investigación afirma, aunque sin confirmación independiente, que estos datos también podrían compartirse con terceros, incluyendo una firma de ciberseguridad.
- Esta práctica no se menciona en la política de privacidad de LinkedIn, por lo que los usuarios no tienen forma de saber que está ocurriendo ni de optar por no participar.
Un aspecto clave es que LinkedIn no escanea a visitantes anónimos. Al conocer el nombre real, el empleador y el puesto de trabajo de cada usuario, la plataforma está vinculando el inventario de software detectado con la identidad profesional de una persona en una empresa específica.
El impacto inmediato es una violación severa de la expectativa de privacidad. Los usuarios profesionales utilizan LinkedIn para gestionar su carrera y red de contactos, no con la expectativa de que la plataforma audite su equipo de trabajo.
La escala es masiva, afectando potencialmente a millones de empresas y profesionales en todo el mundo cada día.
Legalmente, la investigación de BrowserGate califica la operación como “ilegal y potencialmente un delito penal” en múltiples jurisdicciones, aunque esta es una interpretación de los investigadores.
La contradicción principal es ética: LinkedIn invierte recursos legales considerables en impedir que otros extraigan datos públicos de sus perfiles, mientras que, según la acusación, recopila datos privados de los dispositivos de los usuarios sin transparencia.
Este escaneo también podría tener implicaciones comerciales. Saber qué herramientas de software usan empleados de empresas específicas es información extremadamente valiosa para marketing, ventas competitivas o inteligencia de mercado, levantando cuestiones sobre posibles conflictos de interés.