Un estudio del Simposio de seguridad de USENIX publicado en agosto de 2025 reveló que las populares extensiones de navegador de IA recopilan datos confidenciales de los usuarios, incluidos registros médicos, información bancaria, números de seguro social y actividad en las redes sociales. Investigadores del University College London, la Universidad Mediterránea de Reggio Calabria y la Universidad de California en Davis realizaron el análisis. Los hallazgos resaltaron los riesgos de privacidad en los navegadores web asistidos por IA que han ganado fuerza desde su introducción en 2025. Los navegadores asistidos por IA, como Atlas de OpenAI y Comet de Perplexity, ofrecen funciones como resúmenes de sitios web, búsquedas refinadas, chatbots y ejecución autónoma de tareas. Estas herramientas desafían a los navegadores establecidos, incluido Google Chrome, que posee el 70 por ciento del mercado global, Safari, Edge y Firefox. Otros participantes incluyen integraciones de Opera Neon, Dai y ChatGPT. McKinsey & Company pronostica que la industria de los navegadores generará 750 mil millones de dólares en ingresos para 2028. Los navegadores de IA funcionan a través de chatbots persistentes que analizan páginas web abiertas y modos de agencia que manejan tareas como completar formularios, comprar en Amazon o editar ensayos. Procesan el contenido de la página web junto con solicitudes anteriores, historiales de búsqueda e interacciones sin instrucciones del usuario. Las extensiones del navegador sirven como interfaces para modelos como ChatGPT de OpenAI, Gemini de Google y Llama de Meta. Las extensiones inyectan scripts de contenido en páginas web a través de trabajadores de servicios en segundo plano, lo que permite la extracción de datos autónoma. Esto difiere de los chatbots basados en la web, que sólo procesan datos introducidos por el usuario. El estudio de USENIX se centró en las extensiones de navegador en lugar de en los navegadores completos, como lo lanzaron líderes como Atlas y Comet después de su finalización. Las extensiones examinadas incluyeron ChatGPT para Google, Sider, Monica, Merlin, MaxAI, Perplexity, HARPA, TinaMind y Copilot de Microsoft. Los investigadores simularon la navegación en contextos públicos y privados: leyendo noticias, viendo vídeos de YouTube, viendo pornografía y completando formularios de impuestos. Las extensiones capturaron imágenes y texto, como diagnósticos médicos, números de Seguro Social y preferencias de aplicaciones de citas. Merlín transmitió datos bancarios y registros médicos. Merlin y Sider AI registraron actividad incluso en modos de navegación privada. El análisis del tráfico después del descifrado mostró transmisiones a servidores de la empresa y rastreadores de terceros. Sider y TinaMind compartieron mensajes de usuario y direcciones IP con Google Analytics, lo que facilitó el seguimiento entre sitios. Copilot de Microsoft retuvo los historiales de chat de todas las sesiones en el almacenamiento del navegador. Google, Copilot, Monica, ChatGPT y Sider perfilaron a los usuarios por edad, sexo, ingresos e intereses para obtener respuestas personalizadas en múltiples sesiones. Perplexity surgió como la herramienta que más respeta la privacidad entre las herramientas probadas. No recuerda interacciones anteriores y sus servidores evitan datos personales de espacios privados. Perplexity todavía procesa los títulos de las páginas y la ubicación del usuario. OpenAI lanzó Atlas después del estudio. OpenAI afirma que Atlas analiza selectivamente el contenido, pero procesa todas las imágenes y el texto del sitio web. Las funciones de memoria opcionales almacenan elementos del historial de navegación para personalizar las experiencias. Los usuarios no pueden especificar qué aspectos del sitio recupera el navegador. La página de ayuda de OpenAI recomienda eliminar páginas de la ventana de chat, bloquear URL confidenciales o eliminar el historial para limitar la exposición. Atlas incluye dos configuraciones relacionadas con los datos. “Mejorar el modelo para todos” se activa de forma predeterminada y permite a OpenAI utilizar datos de páginas web de consultas de chatbot para la capacitación de ChatGPT. “Incluir navegación web” incorpora el historial de navegación completo en la formación. OpenAI anonimiza los datos antes de su uso en el entrenamiento, aunque los detalles específicos sobre los límites siguen siendo limitados. Los usuarios pueden desactivar ambas configuraciones. Comet de Perplexity almacena el historial de búsqueda localmente en los dispositivos de los usuarios, no en los servidores. Accede a URL, texto, imágenes, consultas de búsqueda, historial de descargas y cookies para funciones principales. El modo agente de Comet y la herramienta Memoria analizan el historial de búsqueda y las preferencias. El navegador solicita acceso a la cuenta de Google, que cubre correos electrónicos, contactos, configuraciones y calendarios, con opción de participación para integraciones de terceros. La página explicativa de Perplexity detalla la configuración de datos. Los expertos recomiendan restringir la barra lateral del chatbot a páginas no confidenciales. Las empresas de inteligencia artificial a menudo reutilizan los datos almacenados de los usuarios para la capacitación de modelos de lenguaje de gran tamaño sin consentimiento explícito. Esta práctica se extiende más allá de la IA y abarca las redes sociales, los minoristas, los motores de búsqueda y los servicios de mensajería a través de acuerdos opacos y suscripciones predeterminadas. Los navegadores acceden a información más confidencial que otras plataformas. OpenAI cumplió 105 solicitudes de datos del gobierno de EE. UU. en la primera mitad de 2025. Las vulnerabilidades de seguridad agravan los problemas de privacidad. Los ataques de inyección rápida permiten a los piratas informáticos incrustar contenido malicioso en el backend del navegador, indistinguible de las entradas legítimas. Estos permiten el phishing y el robo de credenciales, datos bancarios y datos personales. Un estudio de Brave de octubre de 2025 describió las inyecciones rápidas como un desafío sistémico para los navegadores de IA, lo que aumenta los riesgos de phishing. LayerX Security informó que los usuarios de Perplexity Comet enfrentan un 85 por ciento más de vulnerabilidad a este tipo de ataques en comparación con los usuarios de Chrome. El director de información de OpenAI, Dane Stuckey, declaró en X que la inyección rápida “sigue siendo un problema de seguridad fronterizo sin resolver”. El blog de Perplexity llamó a las empresas de IA a “repensar la seguridad desde cero”. Los investigadores de USENIX probaron extensiones en escenarios controlados para medir la captura de datos. En la navegación de noticias, las extensiones registraban el texto y las imágenes de los artículos. Las sesiones de YouTube dieron como resultado capturas de miniaturas de videos y extracción de comentarios. Los sitios de pornografía condujeron al registro de imágenes y preferencias. Las simulaciones de formularios de impuestos expusieron números de Seguro Social y detalles financieros. El tráfico descifrado de Merlin mostró transmisión en texto plano de registros médicos, incluidos diagnósticos como notas de control de diabetes e inicios de sesión bancarios con números de cuenta. Los paquetes de Sider AI incluían direcciones IP combinadas con mensajes que contenían identificadores personales. TinaMind enruta datos similares a los puntos finales de Google Analytics. El almacenamiento local de Copilot retuvo registros de conversaciones, incluidas consultas sobre planificación financiera vinculadas a detalles de ingresos de sitios anteriores. Los ejemplos de elaboración de perfiles incluyeron que Sider infiriera el género del usuario de los sitios de compras y la edad de las preferencias de noticias, aplicándolos a recomendaciones similares a anuncios. Las limitaciones de Perplexity impidieron la memoria entre sesiones, bloqueando la creación de perfiles. Los registros de su servidor contenían sólo metadatos como títulos de páginas (“Inicio de sesión – Bank of America”) y coordenadas de geolocalización, sin cargas de contenido de pestañas privadas. La documentación de Atlas confirma el OCR de imágenes y la extracción de texto en todas las pestañas. Las instantáneas de memoria incluyen listas de URL e historiales resumidos, como “Carrito de Amazon visitado con productos electrónicos”. Las opciones de capacitación procesan datos a través de canales de anonimización, IP hash y sesiones de agregación, según las divulgaciones de OpenAI. El almacenamiento local de Comet utiliza IndexedDB para los historiales y se sincroniza opcionalmente con las cuentas de Perplexity. La integración de Google requiere ámbitos de OAuth para el acceso de lectura/escritura a Gmail y Calendar. Las herramientas de terceros como Zapier se conectan mediante claves API. Las solicitudes del gobierno a OpenAI abarcaron citaciones para investigaciones de amenazas y órdenes de seguridad nacional, que abarcaban 6.000 cuentas de usuarios. Los registros de cumplimiento detallan los tipos de datos: chats, archivos y seguimientos de IP. El análisis de octubre de Brave simuló 500 intentos de inyección en todos los navegadores. Los modelos de IA ejecutaron el 72 por ciento de las solicitudes maliciosas, frente al 4 por ciento en los navegadores tradicionales. LayerX probó a 1200 usuarios: las sesiones de Comet produjeron 2,1 exploits por hora, Chrome 1.1. La mecánica de inyección de extensiones se basa en los trabajadores del servicio Manifest V3, que otorgan amplios permisos de pestañas. La autonomía surge de que los “content_scripts” coincidan con todas las URL y canalicen los árboles DOM a los LLM. El contexto del mercado muestra la participación del 70 por ciento de Chrome según los datos de StatCounter a finales de 2025. Los navegadores de IA capturaron el 12 por ciento combinados, según SimilarWeb. Las integraciones de Firefox AI aumentaron su participación al 8 por ciento.
