Un estudio revela que los navegadores de IA comparten datos personales confidenciales

Según un nuevo estudio, los asistentes de inteligencia artificial (IA) de los navegadores web rastrean y comparten datos confidenciales de los usuarios, como historiales médicos y números de la seguridad social.

Investigadores del Reino Unido e Italia probaron 10 de los navegadores con IA más populares -entre ellos ChatGPT de OpenAI, Copilot de Microsoft y Merlin AI, una extensión para el navegador Chrome de Google- con tareas de cara al público, como compras en línea, y en sitios web privados, como el portal de salud de una universidad.

Encontraron pruebas de que todos los asistentes, excepto Perplexity AI, mostraban indicios de que recopilaban estos datos y los utilizaban para crear perfiles de los usuarios o personalizar sus servicios de IA, lo que podría suponer una violación de las normas de privacidad de datos.

Anna Maria Mandalari, autora principal del estudio y profesora adjunta del University College de Londres, afirma en un comunicado de prensa: "Estos asistentes de navegación de IA operan con un acceso sin precedentes al comportamiento online de los usuarios en áreas de su vida online que deberían permanecer privadas".

"Aunque ofrecen comodidad, nuestras conclusiones muestran que a menudo lo hacen a costa de la privacidad del usuario y a veces infringiendo la legislación sobre privacidad o las propias condiciones de servicio de la empresa".

No hay forma de saber qué pasa con los datos de tu navegador

Según el informe, los navegadores con inteligencia artificial son herramientas que "mejoran" la búsqueda en la web con funciones como resúmenes y asistencia en la búsqueda. Para el estudio, los investigadores accedieron a portales privados y luego hicieron a los asistentes de IA preguntas como: "¿Cuál era el propósito de la visita médica actual?", para ver si el navegador conservaba algún dato sobre esa actividad.

Durante las tareas públicas y privadas, los investigadores descifraron el tráfico entre los navegadores de IA, sus servidores y otros rastreadores en línea para ver adónde iba la información en tiempo real. Algunas de las herramientas, como Merlin y el asistente de IA de Sider, no dejaban de registrar la actividad cuando los usuarios entraban en espacios privados.

Eso significaba que varios asistentes "transmitían a sus servidores el contenido completo de la página web", por ejemplo, cualquier contenido visible en la pantalla. En el caso de Merlin, también capturó los datos bancarios en línea de los usuarios, sus expedientes académicos y sanitarios, y un número de la seguridad social introducido en una web de impuestos estadounidense.

Otras extensiones, como Sider y TinaMind, compartían con Google Analytics las instrucciones que introducían los usuarios y cualquier dato identificativo, incluida la dirección IP del ordenador. Según el estudio, esto permitía "el seguimiento potencial entre sitios y la segmentación publicitaria".

En los navegadores Google, Copilot, Monica y Sider, el asistente ChatGPT hacía suposiciones sobre la edad, el sexo, los ingresos y los intereses del usuario con el que interactuaba. Utilizaba esa información para personalizar las respuestas a lo largo de varias sesiones de navegación.

En el caso de Copilot, almacenaba todo el historial de chat en el fondo del navegador, lo que indicaba a los investigadores que "estos historiales persisten a lo largo de las sesiones de navegación". Según Mandalari, los resultados demuestran que "no hay forma de saber qué ocurre con los datos de navegación una vez recopilados".

Según un estudio, es probable que los navegadores incumplan las normas de protección de datos de la UE

El estudio se llevó a cabo en Estados Unidos, y en él se afirmaba que los asistentes de inteligencia artificial infringían las leyes estadounidenses de protección de la intimidad relativas a la información sanitaria.

Según los investigadores, es probable que los navegadores también infrinjan normas de la Unión Europea como el Reglamento General de Protección de Datos (RGPD), que regula cómo se utilizan o comparten los datos personales. Los resultados pueden sorprender a quienes utilizan navegadores de Internet basados en IA, incluso si están familiarizados con la letra pequeña.

En la política de privacidad de Merlin para la UE y el Reino Unido, se dice que se recogen datos como nombres, información de contacto, credenciales de cuenta, historial de transacciones e información de pago. También se recogen datos personales de las preguntas que los usuarios introducen en el sistema o de las encuestas que envía la plataforma.

Esos datos se utilizan para personalizar la experiencia de las personas que utilizan el navegador de IA, enviar notificaciones y prestar asistencia a los usuarios, prosigue la empresa. También pueden utilizarse para responder a solicitudes legales.

La página de privacidad de Sider dice que recoge los mismos datos y los utiliza para los mismos fines, pero añade que podrían analizarse para "obtener información sobre el comportamiento de los usuarios" y para investigar nuevas funciones, productos o servicios.

Dice que puede compartir información personal, pero que no la vende a terceros como Google, Cloudflare o Microsoft. Estos proveedores ayudan a Sider a operar sus servicios y están "contractualmente obligados a proteger su información personal", continúa la política.

En el caso de ChatGPT, la política de privacidad de OpenAI dice que los datos de los usuarios de la UE y el Reino Unido se alojan en servidores de datos fuera de la región, pero que se garantizan los mismos derechos.