AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**LinkedIn bajo la lupa: LinkedIn escanea extensiones y recopila datos de dispositivos con JavaScript oculto**

admin

### Introducción

En las últimas horas, ha salido a la luz una investigación conocida como “BrowserGate” que pone el foco en LinkedIn, la red social profesional de Microsoft. El informe revela que LinkedIn utiliza scripts JavaScript ocultos para escanear los navegadores de los usuarios y recopilar información sobre las extensiones instaladas, además de otros datos identificativos del dispositivo. Esta práctica, más habitual en actores maliciosos que en plataformas legítimas, plantea serios interrogantes sobre la privacidad, la seguridad y el cumplimiento normativo en la web corporativa.

### Contexto del Incidente

El descubrimiento fue realizado por el investigador de seguridad otto-js, quien identificó que el sitio web de LinkedIn inyecta código JavaScript ofuscado que, sin interacción explícita del usuario, ejecuta rutinas para recabar información sobre el entorno del navegador. Si bien el fingerprinting del navegador no es una técnica nueva, el escaneo de extensiones instaladas va un paso más allá, adentrándose en áreas grises tanto legales como éticas.

Este comportamiento se detectó en la versión web de LinkedIn a través de navegadores basados en Chromium (como Google Chrome y Microsoft Edge), pero no se descarta que pueda afectar a otros navegadores populares. El proceso es invisible para el usuario y se ejecuta tanto en sesiones autenticadas como en visitas anónimas.

### Detalles Técnicos

El núcleo de la actividad reside en un script JavaScript —minificado y ofuscado— que se ejecuta al cargar la página de LinkedIn. El script realiza llamadas a la API `chrome.runtime.sendMessage` y a consultas sobre la presencia de objetos globales asociados a extensiones populares, como bloqueadores de anuncios, gestores de contraseñas y herramientas de privacidad.

**CVE y vectores de ataque:**
Hasta el momento, no se ha asignado ningún CVE específico a este comportamiento, dado que no explota una vulnerabilidad en sí, sino que emplea funciones legítimas del navegador para obtener información contextual.

**TTPs (MITRE ATT&CK):**
– **T1082 (System Information Discovery):** El script recopila detalles del sistema y del navegador.
– **T1518.001 (Software Discovery: Security Software Discovery):** Identifica la presencia de extensiones de seguridad y privacidad.
– **T1201 (Password Policy Discovery):** Potencial para identificar gestores de contraseñas instalados.

**Indicadores de compromiso (IoC):**
– Cargas de archivos JavaScript no documentados desde dominios de LinkedIn.
– Tráfico de red que incluye cadenas relacionadas con extensiones populares.
– Solicitudes POST a endpoints internos con fingerprints de navegador y extensiones.

**Herramientas y frameworks asociados:**
Aunque no se ha detectado uso directo de frameworks como Metasploit o Cobalt Strike, el enfoque modular y la ofuscación del código recuerdan a técnicas empleadas en campañas de reconocimiento y fingerprinting avanzadas.

### Impacto y Riesgos

El alcance de esta práctica podría afectar a toda la base de usuarios de LinkedIn, que supera los 900 millones a nivel global. Las principales preocupaciones desde el punto de vista de seguridad y privacidad incluyen:

– **Fingerprinting persistente:** La combinación de datos de dispositivo y extensiones instaladas permite crear identificadores únicos, facilitando el tracking cross-site incluso con cookies deshabilitadas.
– **Exposición de herramientas de seguridad:** Revelar qué extensiones de seguridad o privacidad utiliza un usuario podría facilitar ataques dirigidos y evasión de defensas.
– **Riesgo de cumplimiento legal:** Recopilar información sobre el entorno del usuario sin consentimiento explícito contraviene regulaciones como el GDPR y NIS2, exponiendo a Microsoft a potenciales sanciones económicas.
– **Potencial para ataques de supply chain:** Si la técnica fuese replicada o modificada para inyectar payloads maliciosos, podría convertirse en un vector de ataque de cadena de suministro.

### Medidas de Mitigación y Recomendaciones

Dada la naturaleza del hallazgo, se recomiendan las siguientes acciones inmediatas para equipos de ciberseguridad y administradores de sistemas:

1. **Bloqueo de scripts de terceros:** Implementar políticas CSP (Content Security Policy) restrictivas para limitar la ejecución de scripts no autorizados.
2. **Uso de navegadores endurecidos:** Configurar navegadores corporativos para restringir el acceso a APIs que permitan enumerar extensiones.
3. **Monitorización de tráfico saliente:** Analizar el tráfico de red en busca de patrones inusuales hacia dominios de LinkedIn.
4. **Revisión de políticas de privacidad:** Solicitar a LinkedIn transparencia y control granular sobre la recopilación de datos.
5. **Formación a usuarios:** Concienciar sobre los riesgos de la fingerprinting incluso en plataformas consideradas legítimas.

### Opinión de Expertos

Especialistas en ciberseguridad como Troy Hunt y medios de referencia como BleepingComputer advierten que la recopilación masiva de fingerprints puede ser tan intrusiva como el tracking basado en cookies. “El escaneo de extensiones supone una invasión adicional a la privacidad y puede tener consecuencias para la seguridad si los atacantes logran perfilar las defensas del usuario”, señala Hunt.

Desde el entorno legal, juristas en protección de datos subrayan que la recopilación de este tipo de información requiere consentimiento explícito y debe ser debidamente documentada, de acuerdo con el artículo 5 del GDPR.

### Implicaciones para Empresas y Usuarios

Para las organizaciones, la exposición de herramientas y configuraciones internas a través de navegadores de empleados puede abrir la puerta a ataques de ingeniería social, spear phishing y explotación dirigida de vulnerabilidades. Los equipos SOC y de respuesta a incidentes deben considerar el fingerprinting avanzado como un vector de riesgo emergente.

Los usuarios individuales, por su parte, ven comprometida su privacidad y anonimato, además de quedar potencialmente expuestos a campañas de seguimiento y profiling no autorizadas.

### Conclusiones

El incidente “BrowserGate” evidencia que incluso plataformas mainstream como LinkedIn pueden emplear técnicas de recolección de datos propias de actores hostiles, difuminando la línea entre personalización y vigilancia masiva. Ante este escenario, la transparencia, el cumplimiento normativo y la protección proactiva de la superficie de ataque del usuario se convierten en elementos críticos para la confianza digital.

(Fuente: www.bleepingcomputer.com)