Usar un VPN gratuito puede parecer una buena decisión para proteger la privacidad en línea, pero la realidad puede ser muy distinta. La reciente investigación de la firma de seguridad Koi, con sede en Tel Aviv, expuso un caso preocupante: más de seis millones de conversaciones privadas con chatbots de inteligencia artificial fueron recolectadas y vendidas sin conocimiento ni consentimiento de los usuarios.
El protagonista de esta historia es Urban VPN Proxy, una extensión gratuita para el navegador Chrome que se promociona como una herramienta de privacidad y que incluso contaba con el sello de «destacado» en la Chrome Web Store, un distintivo que sugiere cierta aprobación por parte de Google. Sin embargo, bajo esa apariencia inocente se ocultaba un mecanismo de recopilación masiva de datos.
Cómo funcionaba el espionaje digital
Según el investigador Idan Dardikman de Koi, el comportamiento de Urban VPN Proxy iba mucho más allá del funcionamiento típico de un VPN. La extensión incluía scripts ejecutables que interceptaban y registraban las conversaciones que los usuarios mantenían con chatbots populares como ChatGPT, Claude, Gemini, Grok y DeepSeek. Es decir, cualquier texto ingresado en estas plataformas quedaba expuesto.
Esto incluía temas delicados: consultas médicas, problemas financieros, dilemas personales o código propietario, todo capturado automáticamente y vendido con fines de análisis de marketing. Y lo más grave es que esta recolección se producía aunque el usuario no tuviera activada la función de VPN, ya que el script venía activado por defecto desde la instalación.
No había forma de desactivarlo desde la configuración. Como señaló Forbes, la única manera de evitar la recolección de datos era desinstalar completamente la extensión. Esta práctica representa una violación directa a las expectativas de privacidad de millones de usuarios que creían estar protegidos.
Una política de privacidad ambigua
La empresa responsable de esta extensión es Urban Cyber Security Inc., que no oculta estas prácticas. Su política de privacidad admite explícitamente que comparten los datos de navegación con su empresa afiliada, BiScience, una firma de análisis de datos que luego transforma esa información en productos comerciales que son vendidos a terceros.
Pese a ello, en la página de Urban VPN Proxy en la Chrome Web Store se afirma que «los datos no se venden a terceros, salvo en los casos de uso aprobados» y que «no se utilizan ni transfieren con fines ajenos a la funcionalidad principal del producto». Esta contradicción entre lo que se promete y lo que se hace es uno de los aspectos más inquietantes del caso.
El problema va más allá de una sola extensión
Este no es un caso aislado. Según la misma investigación, Urban Cyber Security tiene al menos siete extensiones adicionales con funcionalidades similares de recolección de datos, que suman en total más de dos millones de usuarios adicionales. Todas menos una tienen también la etiqueta de «destacadas» en la tienda de Chrome, lo que plantea preguntas serias sobre los criterios de validación de Google para estas extensiones.
Esto abre la puerta a una preocupación más amplia: ¿cuántas otras extensiones o aplicaciones están realizando prácticas similares sin que lo sepamos? La transparencia en el manejo de datos personales es cada vez más crucial en un entorno donde las herramientas tecnológicas se integran profundamente en nuestra vida cotidiana.
Consecuencias para los usuarios y buenas prácticas
El impacto para los usuarios va más allá de la simple pérdida de privacidad. Las conversaciones con chatbots suelen ser altamente personales y reflejan pensamientos íntimos, decisiones delicadas o información sensible. Si esos datos caen en manos equivocadas, pueden ser utilizados para crear perfiles comerciales muy precisos, facilitar estafas o alimentar bases de datos que nadie autorizó.
Frente a esta realidad, es importante adoptar algunas medidas preventivas. La primera es revisar cuidadosamente los permisos y políticas de privacidad de cualquier aplicación o extensión antes de instalarla. Desconfía especialmente de aquellas que ofrecen servicios gratuitos sin una fuente clara de financiación. Como en el dicho popular: si el producto es gratis, probablemente el producto eres tú.
También es recomendable utilizar herramientas de seguridad reputadas y estar atentos a los informes de entidades independientes que analizan el comportamiento de software aparentemente inofensivo. La comunidad de investigadores juega un rol fundamental en alertar sobre este tipo de abusos.
Una responsabilidad compartida
Aunque los usuarios deben tomar decisiones informadas, también existe una responsabilidad institucional por parte de plataformas como la Chrome Web Store. Que extensiones con prácticas tan invasivas reciban un sello de «destacado» pone en entredicho los procesos de evaluación y protección al consumidor digital. Se vuelve urgente que actores como Google revisen sus mecanismos de validación para garantizar que las aplicaciones que promueven no vulneren los derechos de sus usuarios.
Finalmente, este caso deja claro que la privacidad digital no es un derecho garantizado por defecto, sino una conquista que debe ser defendida activamente. Conversar con un chatbot puede parecer inofensivo, pero cuando cada palabra escrita puede ser almacenada, vendida y analizada por empresas sin rostro, el precio de la comodidad se vuelve demasiado alto.