Investigadores de seguridad han descubierto que varias extensiones de navegador ampliamente utilizadas comercializadas como VPNs o herramientas de privacidad interceptaban y vendían las conversaciones de los usuarios mediante plataformas de chat de inteligencia artificial sin consentimiento claro. El comportamiento se descubrió en múltiples extensiones, incluida una con más de seis millones de instalaciones Chrome y usuarios adicionales en Microsoft Edge. El análisis del código mostró que estas extensiones incluían scripts diseñados para capturar el texto introducido en los servicios de IA, así como las respuestas devueltas por esos servicios.
Las extensiones estaban dirigidas al menos a diez grandes proveedores de IA. Entre ellos se encontraban ChatGPT, Claude, Google Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok de xAI y Meta AI. Los investigadores informaron que los datos recopilados del chat se transmitían a servidores controlados por los desarrolladores de la extensión y podrían haber sido vendidos a intermediarios de datos externos.
Los investigadores dijeron que la recogida de datos estaba integrada por defecto en el código de las extensiones y que los usuarios no podían desactivarla. La funcionalidad se introdujo en una actualización en julio de 2025. Los usuarios que habían instalado o actualizado las extensiones después de ese momento habrían visto su texto de chat con IA capturado y subido automáticamente.
El comportamiento se detectó en varias extensiones que compartían código de vigilancia subyacente común, todas publicadas por el mismo grupo de desarrolladores. En conjunto, las extensiones afectadas fueron instaladas por alrededor de ocho millones de usuarios en todo Chrome Edge. Algunas de las extensiones afectadas llevaban insignias de “Destacado” en los mercados de extensiones, que normalmente indican el cumplimiento de los estándares de calidad y seguridad de la plataforma.
Las extensiones en cuestión se presentaron a los usuarios como herramientas para mejorar la privacidad o ofrecer servicios VPN destinados a ocultar el tráfico de internet. En realidad, los scripts inyectados por el software recogían datos sensibles de entrada a medida que los usuarios interactuaban con chatbots de IA. Los scripts se activaban cada vez que se accedía a una plataforma soportada, capturando tanto los prompts que los usuarios escribían como las respuestas generadas por los modelos de IA.
Investigadores de seguridad señalaron que el descubrimiento plantea dudas sobre la eficacia de los procesos de revisión de extensiones de navegador en las principales tiendas de extensiones. Las extensiones que fueron revisadas y obtuvieron insignias de calidad aún se descubrió que contenían funcionalidad oculta de exfiltración de datos.
Los expertos que asesoran a los usuarios sobre privacidad digital recomendaron que las personas desinstalaran con rapidez las extensiones no verificadas o poco conocidas y trataran con cautela cualquier información sensible introducida en las plataformas de chat de IA si estas extensiones estaban instaladas. También se animó a los usuarios a auditar regularmente las extensiones del navegador y eliminar aquellas que solicitaran permisos extensos no relacionados con su función declarada.
El incidente ha contribuido a un mayor escrutinio de las extensiones de navegador que afirman proteger la privacidad pero, en la práctica, recopilan y transmiten datos de los usuarios. Otras investigaciones han identificado anteriormente extensiones que realizan capturas de pantalla de la actividad de navegación de los usuarios o recopilan otra información sensible.
El caso también pone de manifiesto las crecientes preocupaciones sobre la privacidad de las interacciones con chat con IA. Las conversaciones con servicios de IA suelen contener información personal, profesional o única que los usuarios pueden no tener intención de compartir más allá de la sesión. Cuando estos datos son capturados y monetizados por terceros, las implicaciones para la confianza de los usuarios tanto en las herramientas de IA como en las extensiones del navegador son significativas.
Se ha instado a los desarrolladores de navegadores y a los mantenedores de plataformas a mejorar la verificación de extensiones y a proporcionar advertencias más claras cuando las extensiones soliciten acceso a flujos de datos sensibles. Hasta que se implementen estas medidas, los usuarios siguen siendo responsables de evaluar cuidadosamente la fiabilidad y reputación de las extensiones antes de su instalación.