AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**LinkedIn bajo la lupa: BrowserGate revela escaneo oculto de extensiones y huella digital de dispositivos**

admin

### 1. Introducción

Un reciente informe titulado «BrowserGate» ha sacudido la comunidad de ciberseguridad al revelar prácticas de recopilación de datos poco transparentes por parte de LinkedIn, la red profesional propiedad de Microsoft. Investigadores han detectado que la plataforma utiliza scripts JavaScript ocultos para escanear las extensiones instaladas en los navegadores de los usuarios y recolectar información detallada acerca de sus dispositivos, lo que abre un debate sobre la privacidad, el cumplimiento normativo y los riesgos asociados para empresas y profesionales.

### 2. Contexto del Incidente

Las técnicas de fingerprinting o huella digital de navegador han ido evolucionando en los últimos años, pasando de la simple recolección de agentes de usuario y resoluciones de pantalla a métodos mucho más avanzados. El descubrimiento de BrowserGate, realizado por investigadores independientes y posteriormente validado por analistas de Threat Intelligence, pone de manifiesto cómo grandes plataformas pueden aprovechar scripts no documentados para obtener información sensible sin el consentimiento explícito del usuario.

Según el informe, LinkedIn habría implementado estos scripts en su dominio principal, impactando potencialmente a todos los visitantes —incluidos usuarios autenticados y no autenticados— en las versiones más recientes de navegadores como Chrome, Edge y Firefox. La técnica, lejos de ser anecdótica, estaría activa desde hace meses, con actualizaciones regulares en el código JavaScript para evadir la detección por parte de extensiones de privacidad y soluciones antitracking.

### 3. Detalles Técnicos

**Vectores de ataque y funcionamiento:**
El mecanismo se basa en la ejecución de scripts JavaScript ofuscados que, tras cargar el DOM de la página, inician una serie de comprobaciones sobre el entorno del navegador. Entre las funciones identificadas se encuentran:

– Enumeración de extensiones instaladas, mediante el acceso a objetos y APIs expuestos por las extensiones y el análisis de rutas de recursos inyectados en el DOM.
– Recolección de identificadores de hardware, como el canvas fingerprinting, WebGL, fuentes instaladas, y parámetros de red.
– Generación de un hash único de usuario, combinando múltiples atributos para desarrollar una huella digital persistente, incluso en sesiones privadas.

**TTPs y MITRE ATT&CK:**
El método se alinea con la táctica “Gather Victim Host Information” (ID: T1592) y la técnica “Browser Session Hijacking” (ID: T1185) del framework MITRE ATT&CK. Aunque la finalidad explícita no es el secuestro de sesión, el nivel de detalle recopilado podría facilitar ataques de seguimiento o spear phishing altamente dirigidos.

**Indicadores de compromiso (IoCs):**
– Presencia de los scripts en rutas como `/li/scripts/trackers.js` y llamadas a endpoints internos de LinkedIn, no documentados en la política de privacidad.
– Tráfico HTTPs cifrado pero con patrones de beaconing recurrente al backend de la plataforma.

**CVE y exploits conocidos:**
No existe, por el momento, un CVE asignado a esta práctica, ya que no explota una vulnerabilidad de software en el sentido tradicional, sino que aprovecha funcionalidades legítimas de los navegadores.

### 4. Impacto y Riesgos

El impacto de BrowserGate es significativo en varios frentes:

– **Privacidad:** La recopilación masiva de datos de extensiones y hardware puede vulnerar la privacidad de los usuarios, especialmente si se combinan para crear perfiles identificables y persistentes.
– **Seguridad corporativa:** El conocimiento de extensiones instaladas en navegadores corporativos puede exponer detalles sobre herramientas de seguridad, soluciones de DLP, plugins de autenticación o VPNs, facilitando ataques dirigidos (por ejemplo, ingeniería social o BEC).
– **Cumplimiento normativo:** Bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, la opacidad en la recolección y tratamiento de datos personales puede suponer sanciones económicas relevantes, especialmente si se detecta ausencia de base legal o consentimiento informado.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a esta práctica, los expertos recomiendan:

– Revisar y limitar el uso de extensiones en entornos corporativos, priorizando aquellas estrictamente necesarias y auditadas.
– Implementar soluciones de hardening de navegador, como políticas de grupo (GPO) en Chrome Enterprise o Mozilla Enterprise, para restringir la ejecución de scripts de terceros.
– Monitorizar el tráfico de red saliente desde estaciones de trabajo a dominios de LinkedIn, identificando patrones anómalos de beaconing.
– Desplegar extensiones de privacidad como uBlock Origin, Privacy Badger o NoScript, aunque se advierte que la ofuscación avanzada puede evadir algunos bloqueos.
– Actualizar periódicamente las políticas de privacidad y cookies, informando a los usuarios sobre este tipo de riesgos.

### 6. Opinión de Expertos

Carlos Pérez, CISO de una multinacional tecnológica, comenta:
*»El fingerprinting agresivo va más allá de la personalización y entra en un terreno peligroso para la privacidad y la seguridad corporativa. Las grandes plataformas deben ser transparentes y ofrecer mecanismos claros de opt-out.»*

Por su parte, Marta Ruiz, consultora de cumplimiento en protección de datos, añade:
*»La recopilación de extensiones y datos de hardware es un tratamiento de datos personales según el GDPR. La falta de consentimiento explícito y la opacidad en la finalidad pueden derivar en investigaciones y multas considerables.»*

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones que utilicen LinkedIn como herramienta de RRHH, ventas o networking deben ser conscientes de que la plataforma podría estar recogiendo información sensible sobre sus dispositivos y empleados. Esto puede afectar a la confidencialidad de las configuraciones de seguridad, exponer detalles sobre herramientas internas y comprometer la postura de seguridad global de la empresa.

Para los usuarios avanzados y administradores de sistemas, la recomendación pasa por monitorizar el comportamiento de los navegadores y considerar el uso de sesiones en contenedores aislados al acceder a plataformas que emplean técnicas de fingerprinting intrusivas.

### 8. Conclusiones

El caso BrowserGate representa una llamada de atención sobre las prácticas cada vez más sofisticadas de recolección de datos en la web. Aunque el fingerprinting no es nuevo, la escala y profundidad alcanzada por plataformas como LinkedIn exige una revisión urgente de las políticas de privacidad, el refuerzo de controles técnicos y una mayor concienciación tanto en usuarios como en responsables de ciberseguridad. El equilibrio entre personalización y privacidad debe ser reevaluado ante la presión regulatoria y la creciente preocupación social por el uso de los datos personales.

(Fuente: www.bleepingcomputer.com)