Hay temas que preferimos no compartir en redes sociales ni comentar en voz alta, pero curiosamente, los volcamos sin filtro en chats con inteligencia artificial, como si estuviéramos hablando con un amigo de confianza. Sin juicios, sin silencios incómodos, solo esperando una respuesta que muchas veces solo nos reafirma. Pero esto plantea una pregunta inquietante: ¿qué pasaría si toda esa información cayera en manos de terceros? ¿Y si alguien más estuviera leyendo esas conversaciones?
Tomar precauciones como no participar en el entrenamiento de los modelos o reforzar la seguridad de nuestra cuenta puede no ser suficiente. Recientemente ha surgido una amenaza que afecta a millones de usuarios sin que lo sepan: ciertas extensiones de navegador están espionando y robando las conversaciones que mantenemos con los chatbots de IA. La más destacada es Urban VPN Proxy, una extensión de Chrome con más de 6 millones de usuarios, bien valorada y que hasta hace poco tenía el sello de “Destacada” en la tienda de Google Chrome.
La alarma saltó gracias a un informe de Koi, una empresa especializada en ciberseguridad. Esta no es una advertencia genérica ni una suposición, sino el resultado de un análisis profundo sobre lo que hacen estas extensiones en segundo plano mientras navegamos. Al revisar algunas muy populares, pensadas para mejorar privacidad o seguridad, detectaron un patrón preocupante: ciertas extensiones, entre ellas Urban VPN Proxy, podían leer y enviar fuera del navegador las conversaciones que los usuarios tenían con chatbots de inteligencia artificial.
Lo grave es que esta extensión no se limitaba a espiar un solo proveedor, sino varias plataformas populares como ChatGPT, Claude, Gemini o Microsoft Copilot. Esto amplía enormemente la cantidad y variedad de datos capturados, que suelen incluir temas muy personales, información económica o detalles de proyectos laborales. Por eso, acceder a estas conversaciones implica una exposición muy delicada.
¿Cómo capturan estas conversaciones? Según el informe, el problema no está en los chatbots en sí, sino en el papel que las extensiones tienen dentro del navegador. Urban VPN Proxy supervisa las pestañas activas y, cuando detecta que accedemos a una plataforma de IA, inyecta un código en la página que intercepta las solicitudes y respuestas antes de que el contenido se muestre, capturando así la conversación completa en tiempo real.
Además, los datos que recopila no son fragmentos aislados, sino conversaciones enteras con todo su contexto: mensajes del usuario, respuestas del bot, identificadores de chats y marcas temporales para ordenarlos. Esto permite a quien accede a esa información trazar patrones muy precisos de uso, desde rutinas de trabajo hasta preocupaciones personales, justamente porque se trata de un seguimiento constante y no de un solo mensaje.
Un detalle importante que resalta el informe es que esta captura de datos no depende de que el VPN esté activo; funciona independientemente, siempre que la extensión esté instalada. No existe ninguna opción visible para que el usuario desactive esta recolección sin eliminar la extensión por completo.
Curiosamente, esta función no estaba presente desde el inicio. La recopilación comenzó a partir del 9 de julio de 2025, con una actualización que activó por defecto la captura de conversaciones sin informar claramente a los usuarios ni pedir su consentimiento explícito.
Urban VPN Proxy promociona esta función como una “protección AI” que supuestamente alerta si introduces datos personales o si las respuestas de la IA incluyen enlaces riesgosos. Sin embargo, estas alertas no tienen nada que ver con la recolección de datos, que continúa funcionando aunque se desactiven las advertencias.
La investigación no se quedó solo en Urban VPN Proxy. Al rastrear el código malicioso, Koi encontró que otras extensiones del mismo desarrollador, bajo nombres como 1ClickVPN Prox, Urban Browser Guard o Urban Ad Blocker, también estaban recogiendo conversaciones con IA. En total suman más de 8 millones de usuarios entre Chrome y Edge, lo que confirma que esto no es un caso aislado, sino parte de un ecosistema de extensiones que realizan la misma práctica.
Detrás de Urban VPN Proxy está Urban Cyber Security Inc., ligada a BiScience, una empresa dedicada al intermediación y comercialización de datos. Koi señala que BiScience ya había sido investigada anteriormente por prácticas similares, pero ahora han evolucionado de recopilar hábitos de navegación a capturar conversaciones enteras con IA.
Aunque la extensión menciona en su política de privacidad que recopila datos relacionados con los servicios de IA, esta información suele estar enterrada en textos largos, técnicos y poco claros para el usuario promedio. La experiencia práctica para la mayoría es que instalan una herramienta que promete proteger su privacidad, sin saber que sus chats se están usando para análisis de datos comerciales.
La situación empeora al descubrir que Urban VPN Proxy contaba con un sello de “Destacada” en la tienda de extensiones de Chrome, un reconocimiento que Google otorga tras un riguroso proceso para identificar productos confiables. Esto genera una contradicción importante porque muestra las limitaciones de esas revisiones y la confianza que los usuarios depositan en esos sellos.
¿Y qué hacer si tienes esta extensión o alguna similar instalada? Según los expertos, no hay forma de detener selectivamente la recolección de datos; la única solución es desinstalar completamente la extensión y revisar otras que tengan funciones parecidas. También es importante asumir que cualquier interacción con chatbots desde julio de 2025 pudo quedar registrada, por lo que conviene ser más cuidadoso con la información personal, médica o profesional que se comparte en estos servicios.
