Una extensión de Chrome “de confianza” convierte a millones de usuarios de IA en una mina de oro de datos

Cuando instalas una extensión de navegador “de confianza”, esperas al menos un mínimo de privacidad. Pero para millones de usuarios de Chrome, esa confianza se ha hecho añicos. Una extensión de VPN - promocionada por Google y con más de seis millones de descargas - ha estado escuchando en secreto las conversaciones con chatbots de IA, recopilando desde reflexiones triviales hasta confesiones íntimas de índole médica o financiera.

Investigadores de Wings, una firma de análisis de riesgos en IA, hicieron el alarmante descubrimiento. Urban VPN Proxy - una de las extensiones mejor valoradas que ofrece servicios de VPN gratuitos y “protección de IA” - fue sorprendida in fraganti: su actualización 5.5.0 (lanzada en julio de 2025) introdujo silenciosamente código que espía las conversaciones de los usuarios en las principales plataformas de IA. Los scripts de la extensión no solo se ejecutan cuando la VPN está activa; permanecen en segundo plano, inyectándose en las páginas web y sobrescribiendo funciones del navegador para interceptar cada pregunta y respuesta que escribes o recibes de los chatbots.

Cada palabra, marca de tiempo e identificador de conversación se comprime y transmite a servidores controlados por Urban VPN, incluyendo analytics.urban-vpn.com. La magnitud es asombrosa: no solo Urban VPN Proxy, sino al menos siete extensiones hermanas del mismo desarrollador - todas con la insignia “Destacada” o “De confianza” de Chrome o Edge - emplean técnicas similares, afectando a unos ocho millones de usuarios.

¿Quién está detrás de esto? Urban Cyber Security Inc., estrechamente vinculada a BiScience Ltd., un corredor de datos israelí con historial de monetización de datos de navegación. Su política de privacidad declara abiertamente que recopilan “prompts y resultados de IA” para análisis de marketing, contradiciendo directamente la ficha de la tienda de Chrome, que promete no vender datos a terceros. En la práctica, esta mina de oro conductual alimenta productos comerciales como AdClarity y Clickstream OS, convirtiendo tus chats privados de IA en fuentes de ingresos.

Además, la supuesta función de “protección de IA” es solo una cortina de humo: activarla no detiene la extracción de datos. Expertos en seguridad advierten que cualquiera que haya usado estas extensiones después de julio de 2025 debe asumir que sus conversaciones con IA - including material sensible o confidencial - han sido registradas y posiblemente vendidas.

A pesar de claras violaciones de la política de Uso Limitado de Google (que prohíbe compartir datos de usuarios con corredores), Urban VPN Proxy sigue siendo “Destacada” y está disponible para descargar. No existe una forma visible para el usuario de desactivar la recolección de datos. ¿La única salida? Desinstalar la extensión por completo.