LinkedIn y privacidad: nuevos métodos invisibles de perfilamiento detrás de las huellas digitales

¿Quién define hoy el límite entre lo público y lo privado? Atravesamos una era en la que los modelos de Inteligencia Artificial demandan enormes volúmenes de datos para ser alimentados, mientras los anunciantes y publicistas afinan su puntería hacia públicos específicos, y las plataformas perfilan a millones de personas, categorizándolas según sus preferencias, comportamientos y deseos. En ese marco, la carrera de las grandes empresas de tecnología se centra en desarrollar mejores algoritmos que sean capaces de conectar datos y estructurar toda esa información.

A esta maratón se sumó LinkedIn, la red profesional por excelencia que, más allá de conectar reclutadores y estudiantes, se convirtió en un repositorio masivo de hojas de vida recopilando desde estudios y experiencia laboral hasta aspiraciones y características ideológicas.

BrowserGate, experto en perfilamiento silencioso

Lo que parece un intercambio controlado de publicaciones y una personalización voluntaria de perfiles adquiere una dimensión alarmante cuando a la conversación se suma BrowserGate. Esta herramienta de LinkedIn analiza el navegador de las personas usuarias cada vez que visitan el sitio mediante un fragmento de código (script) capaz de detectar más de seis mil extensiones de Chrome instaladas y recolectar características específicas de los dispositivos desde donde las personas usuarias se conectan. Esta práctica sitúa en el centro del debate la preocupante precisión del fingerprinting (huella digital única), una técnica que permite identificar a un usuario sin necesidad de archivos de rastreo tradicionales.

El proyecto evolucionó drásticamente: de identificar 38 extensiones en 2017 a monitorear miles en la actualidad. Su modus operandi consta de tres fases consecutivas. Primero, intenta contactar una extensión de forma directa vía API, es decir manda un mensaje directo a la extensión esperando una respuesta. Luego, solicita archivos internos de configuración o rastros de uso del plugin mediante peticiones técnicas específicas. Por último, escanea la página de la extensión (DOM – Document Object Model) examinando cuidadosamente en busca de huellas que cada interacción de la persona usuaria deja en los complementos, permitiendo inferir información sumamente detallada.

¿Cuál es la preocupación si se puede usar navegación incógnita? 

La importancia de hablar al respecto radica en que no se trata de cookies ni de consentimiento, sino de una identificación basada en extensiones y hardware alimentando el poder de inferencia de la plataforma. Además, esto implica la posible exposición de datos sensibles -como creencias, ideologías, neurodivergencias o condiciones de salud- sin que la persona los haya declarado en su perfil, basándose únicamente en los complementos instalados. Este procedimiento vulnera el principio  de la protección de datos, sumado a preocupantes antecedentes ya conocidos como la venta de datos por parte de las plataformas y a través de ellas, como lo demostramos recientemente en un informe de Derechos Digitales respecto al mercado ilegal de datos personales en Telegram. Y como en toda red, esto transciende a la información personal hasta llegar a otros nodos con los que se haya relacionado, como una empleadora o una colega de trabajo o universidad.

Mientras LinkedIn argumenta una latente preocupación por evitar el web scraping (técnica que se utilizada para extraer información de sitios web de manera automatizada), proteger los datos de sus personas usuarias y mantener la estabilidad de la plataforma, lo cierto es que abre la puerta a una vigilancia masiva, opaca y difícil de eludir. Y esto no es todo, la empresa tendría la capacidad de detectar herramientas rivales como Apollo, ZoomInfo o Lusha, facilitando la identificación de empleados y empleadores, y planteando una sospecha: no sólo estaría recogiendo datos personales sino también estableciendo inteligencias comerciales y redes de conocimiento sobre organizaciones.

La infraestructura que propone más protección se convierte así en un método de extracción masiva de datos sensibles. Las herramientas de rastreo digital (tracking) no se declaran en su política de privacidad ni en las condiciones de uso. De lo que hablamos es de fragmentos de código incrustados en las aplicaciones para capturar datos y contribuir al perfilamiento, operando desde una lógica que las personas usuarias sin conocimientos técnicos no pueden detectar.

Implicaciones legales de la violación de privacidad

El hecho de que LinkedIn, de forma deliberada y planificada, escanee secretamente los navegadores web podría exponer a la plataforma y su matriz, Microsoft, a consecuencias legales y financieras alrededor del mundo. Si se considera el Reglamento General de Protección de Datos de la Unión Europea (GDPR), su artículo 9 (“Tratamiento de categorías especiales de datos personales”) lista los datos considerados sensibles y que pueden llegar a inferirse en base al comportamiento digital. Además, en el artículo 83 (“Condiciones generales para la imposición de multas administrativas”) se establece que la multa para empresas equivale al 4% como máximo del volumen de negocio total anual global. En el caso de la creadora de Windows, su ingreso anual al 2025 fue de $281.700 billones, lo que supone una posible multa de $11.286 billones.

A esto se suma la falta de transparencia con las personas usuarias ya que esta práctica no se explicita en la política de privacidad de la plataforma. En términos legales, esto viola el principio de consentimiento informado y las obligaciones de transparencia que el GDPR estipula en sus artículos 13 y 14. Esto aprovecha el desconocimiento de millones de usuarios, quienes no son plenamente conscientes del alcance que tiene sobre su privacidad, su vida laboral y personal.

Indistintamente de si alguna de estas interpretaciones será confirmada o no por parte de las cortes, el caso pone de manifiesto algo mucho más estructural: las leyes digitales actuales fueron pensadas en una internet de cookies visibles y de formularios de consentimiento más o menos sencillos. La técnica de fingerprinting contemporánea opera ya en otra escala. Lo hace de forma silenciosa, distribuida y en una lógica sumamente técnica, difícil de ser identificada por las personas usuarias, aún cuando eligieran no aceptar cookies o navegar en modo incógnito.

La investigación académica sobre el tracking post-cookie ya daba cuenta de que la industria tecnológica se había embarcado en un tránsito hacia mecanismos de tracking más persistentes y difíciles de detectar. Ahora, BrowserGate parece corroborarlo. En regiones como América Latina, donde la fragmentación normativa es la regla y cada país tiene su propia ley de protección de datos, el desafío de enfrenar estas técnicas de rastreo post-cookie parece aún mayor.

Medidas para reducir el impacto

Ante este escenario, las medidas de protección más efectivas se basan en prácticas diarias y persistentes, que pueden requerir más tiempo pero también brindar mayor tranquilidad: revisar las extensiones del navegador instaladas. Cada extensión que se añade no sólo amplía la superficie de ataque que puede experimentar vulnerabilidades o localizaciones, sino que, además, incrementa la noción de singularidad de la persona usuaria dentro de los sistemas de fingerprinting.

La mayoría de las personas mantienen extensiones que ya no utilizan, incluso cuentan con extensiones duplicadas y añaden otras sin necesidad, al tiempo que ignoran que cada extensión puede convertirse en una señal identificatoria. Lo recomendable es reducir al mínimo el número de extensiones, eliminar aquellas que ya no tienen mantenimiento y revisar periódicamente los permisos que tienen como una práctica de higiene digital básica.

Por la misma razón, hacer perfiles de navegación segmentados –diferenciados entre laboral, para ocio y para actividad en redes sociales- ayuda a que las diferentes plataformas no lleguen a unir y construir un único perfil que derive del cruce de hábitos, herramientas y comportamientos. Además, utilizar navegadores de privacidad, como Mozilla Firefox, nos brinda mecanismos de resguardo frente a técnicas de fingerprinting y de tracking más sofisticadas. Y a esto hay que añadir el uso de bloqueadores más avanzados, como uBlock Origin, que permiten restringir scripts de tracking invisibles que funcionan en segundo plano.

Ninguna de estas herramientas garantiza un completo anonimato, pero sí pueden limitar en buena medida las capacidades de las plataformas para crear perfiles persistentes y exhaustivos. La clave está en ser concientes que la privacidad no solo consiste en “no compartir demasiados datos”, sino también en la forma de controlar cuántas señales técnicas dejamos expuestas cada vez que abrimos el navegador. Con más información y estrategias de protección, podremos mejorar nuestra seguridad digital y seguir utilizando internet con mayor autonomía y privacidad.