Alerta en Google Chrome: extensión roba mensajes que muchos escriben en herramientas de IA

La extensión gratuita Urban VPN Proxy con millones de descargas dejó de ser solo una VPN y comenzó a recopilar, sin aviso, las conversaciones

Una popular extensión de Google Chrome con millones de usuarios estaría recopilando de forma masiva las conversaciones que las personas mantienen con chatbots de inteligencia artificial, según una investigación de especialistas en ciberseguridad.

Se trata de Urban VPN Proxy, una herramienta que supera los seis millones de instalaciones en la Chrome Web Store y que, tras una actualización reciente, comenzó a recolectar por defecto los mensajes ingresados en plataformas de IA como ChatGPT, Google Gemini, Claude o Microsoft Copilot.

El hallazgo fue realizado por investigadores de la firma de seguridad Koi, quienes detectaron que el 9 de julio de 2025, con el lanzamiento de la versión 5.5.0, la extensión incorporó una nueva función de “recopilación de IA” activada automáticamente. A partir de ese momento, todo lo que los usuarios escriben en distintos asistentes de inteligencia artificial pasa a ser capturado y enviado a terceros, con fines comerciales.

Urban VPN Proxy se presentaba originalmente como una VPN gratuita orientada a ocultar la dirección IP del usuario y eludir bloqueos geográficos. Gracias a su facilidad de uso y a su modelo sin costo, logró una calificación de 4,7 sobre 5 en la tienda de Chrome, además de sumar 1,3 millones de instalaciones adicionales en Microsoft Edge. Sin embargo, su funcionamiento actual dista del que muchos usuarios creían estar utilizando.

Qué datos recopila la extensión

De acuerdo con el análisis de Koi, la extensión no solo recoge el contenido de los mensajes escritos en chatbots de IA, sino también metadatos asociados a cada interacción. Entre la información recolectada se encuentran identificadores de conversación, marcas de tiempo, datos de sesión y detalles sobre la plataforma y el modelo de inteligencia artificial utilizado.

Las herramientas afectadas incluyen ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, Grok, Meta AI y Perplexity, lo que amplía de forma significativa el alcance del monitoreo. Esto implica que consultas personales, laborales o sensibles realizadas a estos asistentes podrían estar siendo registradas sin que el usuario tenga plena conciencia de ello.

Cambios en la política de privacidad de IA

La empresa detrás de la extensión, Urban Cyber Security, reconoce en su política de privacidad que recopila datos que define como “anónimos” y que estos son compartidos con BIScience, otra compañía de su propiedad. BIScience opera como una firma de inteligencia publicitaria y análisis de comportamiento, dedicada a estudiar patrones de navegación, consumo y efectividad de campañas de marketing a gran escala.

En términos prácticos, esto significa que la información obtenida a partir de las interacciones con IA podría ser utilizada para análisis comerciales, seguimiento de tendencias y monetización indirecta, un modelo que permitiría a los desarrolladores obtener ingresos a partir del comportamiento de los usuarios.

Aunque Urban afirma que elimina información de identificación personal y que aplica filtros para evitar la recopilación de datos sensibles, también admite que no puede garantizarlo por completo. En su propio documento legal, la compañía señala que, pese a las medidas implementadas, existe la posibilidad de que se procesen datos personales de manera involuntaria.

Un patrón que se repite en otras extensiones

Los investigadores de Koi también advirtieron que Urban VPN Proxy no es un caso aislado. La misma empresa estaría detrás de otras extensiones populares, como 1ClickVPN Proxy, Urban Browser Guard y Urban Ad Blocker, todas ellas con comportamientos similares en cuanto a la recopilación de datos relacionados con el uso de inteligencia artificial.

Este patrón refuerza las preocupaciones sobre la falta de transparencia en algunas extensiones gratuitas y sobre el verdadero costo que pagan los usuarios al instalar herramientas que prometen privacidad, seguridad o bloqueo de anuncios.

