Los investigadores analizaron diez de los navegadores con IA más utilizados —entre ellos ChatGPT de OpenAI, Copilot de Microsoft y Merlin AI— y encontraron que casi todos recopilaban información confidencial incluso en páginas privadas, como portales sanitarios o plataformas universitarias. Solo Perplexity AI quedó al margen de estas prácticas, lo que abre un debate sobre la legalidad de estas herramientas en relación con las normativas de privacidad en EEUU y la Unión Europea.
La comodidad frente a la privacidad
Los expertos advierten de que estos asistentes, diseñados para mejorar la experiencia de navegación con resúmenes y búsquedas más rápidas, lo hacen a costa de comprometer la privacidad. Anna Maria Mandalari, profesora adjunta del University College de Londres y autora principal del estudio, señaló que estas herramientas “operan con un acceso sin precedentes al comportamiento online de los usuarios en áreas de su vida que deberían permanecer privadas”.
En sus pruebas, los investigadores comprobaron que aplicaciones como Merlin y Sider continuaban registrando la actividad incluso dentro de espacios privados. Esto implicaba que “transmitían a sus servidores el contenido completo de la página web”, incluyendo datos bancarios o sanitarios.
Durante las pruebas, Merlin llegó a capturar información de cuentas bancarias, expedientes académicos y números de la seguridad social introducidos en portales fiscales
Datos compartidos con terceros
El estudio revela que algunas extensiones, como Sider y TinaMind, compartían instrucciones introducidas por los usuarios con Google Analytics, incluyendo direcciones IP, lo que permite un seguimiento entre sitios y la segmentación publicitaria.
Por su parte, Copilot almacenaba en segundo plano todo el historial de chat del usuario, que persistía a lo largo de las sesiones de navegación. En navegadores como Google o Monica, los asistentes basados en ChatGPT hacían suposiciones sobre la edad, sexo, ingresos e intereses del usuario para personalizar las respuestas.
Posible incumplimiento del RGPD
Aunque el estudio se llevó a cabo en Estados Unidos, los investigadores sostienen que estas prácticas también podrían suponer una violación de la normativa europea de protección de datos (RGPD). Las políticas de privacidad de extensiones como Merlin o Sider reconocen que recopilan información personal, incluidas credenciales de cuenta e historial de transacciones, con fines de personalización y análisis.
Los investigadores concluyen que “no hay forma de saber qué ocurre con los datos de navegación una vez recopilados” por los navegadores de inteligencia artificial
En el caso de OpenAI, la compañía aclara que los datos de usuarios europeos se alojan fuera de la UE, aunque asegura que se garantizan los mismos derechos de protección. Sin embargo, los expertos alertan de que la opacidad en el uso y almacenamiento de esta información puede derivar en sanciones regulatorias y pérdida de confianza de los usuarios.
Principales hallazgos del estudio
| Navegador/Asistente | Datos recopilados | Riesgo detectado |
|---|---|---|
| Merlin AI | Datos bancarios, académicos, sanitarios | Transmisión completa de páginas privadas |
| Sider | IP, instrucciones y datos identificativos | Seguimiento publicitario con Google Analytics |
| Copilot (Microsoft) | Historial de chat persistente | Conservación de datos de navegación |
| ChatGPT (OpenAI) | Suposiciones sobre edad, sexo, ingresos | Personalización sin transparencia |
| Perplexity AI | Ninguno registrado | Exento de riesgo en el estudio |
