LinkedIn, la red profesional más grande del mundo, propiedad de Microsoft, ha presentado una demanda contra la empresa ProAPIs Inc. y su fundador y CTO, Rehmat Alam, acusándolos de crear más de un millón de cuentas falsas para realizar scraping masivo y obtener datos de usuarios de forma no autorizada.
La compañía busca una orden judicial permanente que impida a ProAPIs seguir accediendo a sus sistemas, la eliminación completa de los datos extraídos y el pago de daños y perjuicios por las actividades ilegales realizadas.
¿Qué es el scraping y por qué es un problema?
El scraping consiste en extraer datos de forma automatizada de sitios web mediante bots, scripts o cuentas falsas. Aunque algunos datos en plataformas públicas pueden ser visibles para cualquiera, el scraping a gran escala viola los Términos de Servicio (ToS) de la mayoría de plataformas, incluyendo LinkedIn, especialmente cuando los datos son recopilados con fines comerciales o de venta a terceros.
Este tipo de actividad suele ser la base de filtraciones de datos que luego circulan en foros o se utilizan para campañas de phishing, ingeniería social o incluso robo de identidad.
LinkedIn ha dejado claro en varias ocasiones que el scraping masivo no equivale a un “acceso público legítimo”, ya que vulnera la privacidad de sus usuarios y puede facilitar la explotación indebida de su información profesional.
La demanda: LinkedIn vs. ProAPIs
Según documentos judiciales, LinkedIn acusa a ProAPIs, registrada en Delaware, de operar una plataforma llamada iScraper API, la cual ofrecía acceso a datos en tiempo real de perfiles de LinkedIn a cambio de suscripciones que llegaban a 15.000 dólares mensuales.
La API permitía realizar hasta 150 solicitudes por segundo, lo que demuestra la magnitud del scraping industrial que llevaba a cabo.
El fundador, Rehmat Alam, también fue acusado de usar tarjetas de crédito falsas para registrar cuentas Premium en LinkedIn y evadir los controles de pago, con el fin de acceder a más información y realizar extracciones sin ser detectado de inmediato.
Además, la demanda menciona la colaboración de una empresa técnica con sede en Pakistán, llamada Netswift, que habría actuado como apoyo operativo para mantener el sistema de scraping y las cuentas automatizadas activas.
Lee más: Perfiles de LinkedIn comprometidos en amplia campaña de Ciberataques
La postura de LinkedIn
Sarah Wight, vicepresidenta del área legal de LinkedIn, declaró que la compañía está comprometida con proteger los datos de sus usuarios y que seguirá actuando con firmeza contra los scrapers.
“Seguimos invirtiendo en tecnología avanzada y en equipos dedicados a detener la extracción no autorizada de datos. Cuando es necesario, tomamos medidas legales agresivas para evitar el mal uso de la información de nuestros miembros”, afirmó Wight.
La ejecutiva recordó que LinkedIn ya ha ganado múltiples demandas previas contra empresas que practicaban scraping, incluyendo su victoria reciente frente a ProxyCurl, otra plataforma dedicada a la extracción masiva de información profesional.
Las medidas legales que busca LinkedIn
En su demanda presentada ante un tribunal de California, LinkedIn solicita:
- Una orden judicial permanente para impedir que ProAPIs continúe accediendo o recopilando datos del sitio.
- La eliminación inmediata de toda la información obtenida mediante scraping.
- Compensación económica y sanciones ejemplares por los daños causados.
- Pago de los honorarios legales generados por el proceso judicial.
LinkedIn también pidió que el tribunal reconozca las acciones de ProAPIs como una violación flagrante de los Términos de Servicio, lo que refuerza la base legal para prohibir este tipo de actividades en el futuro.
Scraping a escala global: un desafío constante
El scraping no es un fenómeno nuevo, pero su crecimiento ha sido exponencial gracias a la automatización y la inteligencia artificial. Empresas y actores maliciosos lo utilizan para:
- Crear bases de datos falsas o incompletas para marketing y reclutamiento.
- Construir perfiles de usuarios que luego se venden a terceros.
- Robar información para campañas de phishing o ingeniería social.
LinkedIn, con más de mil millones de usuarios en todo el mundo, es uno de los objetivos más atractivos para estas prácticas.
En 2022, la compañía introdujo tres nuevas medidas de seguridad para combatir cuentas falsas y scraping, incluyendo algoritmos de detección de bots y sistemas de verificación más estrictos.
Aun así, los scrapers como ProAPIs logran adaptarse, creando miles de identidades falsas que imitan a usuarios reales.
Las implicaciones del caso
Este caso tiene implicaciones más amplias para la protección de datos y la ética digital. Si bien la información en LinkedIn puede parecer pública, su uso automatizado para fines comerciales o sin consentimiento viola principios de privacidad y confianza.
Además, el scraping a gran escala puede generar consecuencias graves:
- Fugas de datos sensibles: como correos electrónicos, historial laboral o conexiones profesionales.
- Ataques de ingeniería social dirigidos: los atacantes pueden personalizar estafas o campañas de phishing.
- Riesgo reputacional para los usuarios cuyos datos se usen indebidamente.
Desde TecnetOne, creemos que este tipo de casos demuestran la necesidad de que tanto las empresas como los usuarios adopten una mentalidad de ciberprotección proactiva. La vigilancia, el monitoreo de actividad sospechosa y el uso de soluciones de seguridad avanzadas son esenciales para minimizar el impacto de estas amenazas.
Títulos similares: Tu LinkedIn: Puerta abierta para Ciberdelincuentes
Cómo protegerte del scraping y de cuentas falsas
Aunque las grandes plataformas como LinkedIn aplican medidas de seguridad, tú también puedes tomar precauciones para evitar que tu información sea recolectada o usada sin tu consentimiento:
- Revisa la visibilidad de tu perfil. Configura tu cuenta para limitar quién puede ver tu información completa.
- Evita publicar datos personales o corporativos sensibles. Lo que parece inofensivo puede ser usado por scrapers o atacantes.
- Denuncia perfiles sospechosos. Si notas cuentas que interactúan de forma automatizada, repórtalas.
- Usa autenticación multifactor (MFA). Refuerza la protección de tu cuenta frente a accesos indebidos.
- Monitorea el uso de tu identidad digital. Herramientas de inteligencia de amenazas o protección de marca pueden alertarte sobre si tus datos aparecen en sitios de terceros.
En TecnetOne, ayudamos a las organizaciones a implementar soluciones que detectan automatizaciones maliciosas, bots de scraping y actividades anómalas en tiempo real. Además, asesoramos en políticas de privacidad digital y ciberseguridad corporativa para mitigar riesgos legales y reputacionales.
Reflexión final
El caso LinkedIn vs. ProAPIs es otro recordatorio de cómo el robo de datos digitales se ha industrializado. Hoy, las organizaciones deben entender que la ciberseguridad no solo protege infraestructuras, sino también la integridad de la información y la confianza que los usuarios depositan en las plataformas digitales.
Mientras LinkedIn continúa su lucha legal, esta situación envía un mensaje claro: el uso indebido de datos personales no quedará impune.
En TecnetOne, compartimos ese compromiso. Creemos que la innovación y la conectividad deben construirse sobre una base sólida de ética digital, seguridad y respeto a la privacidad.
Porque proteger los datos es, más que una obligación legal, una responsabilidad con las personas que confían en nosotros.