Los asistentes de inteligencia artificial integrados en los navegadores web, incluido ChatGPT, están recopilando información personal confidencial de sitios que muchas personas asumen que son privados, según muestra una nueva investigación realizada por equipos en el Reino Unido e Italia.
Los investigadores examinaron diez navegadores y extensiones populares habilitados para IA, entre ellos ChatGPT de OpenAI, Microsoft Copilot y Merlin AI para Google Chrome, y los sometieron a pruebas tanto en sitios web abiertos como en portales protegidos con contraseña, como el sistema de registros médicos de una universidad.
Los sitios privados expusieron información a ChatGPT y herramientas similares
Los resultados del estudio fueron impactantes. Revelaron que nueve de las diez herramientas tomaron y enviaron datos privados, incluyendo historiales médicos, datos bancarios, expedientes académicos e incluso números de la seguridad social.
Perplexity AI fue la única herramienta que no pareció recopilar dichos datos.
"Estos asistentes tienen un nivel de acceso a nuestra actividad en línea que no se parece a nada que hayamos visto antes", dijo Anna Maria Mandalari, autora principal del estudio y profesora adjunta en el University College de Londres.
“Hacen que las cosas sean más rápidas y fáciles, pero nuestra evidencia muestra que a veces esto se produce a expensas de la privacidad y, en algunos casos, puede infringir la ley”
Mandalari.
Para ejecutar las pruebas, el equipo imitó la navegación diaria, las compras en línea, la verificación de resultados médicos, el inicio de sesión en cuentas bancarias y luego les hizo a los asistentes preguntas de seguimiento como: ¿Cuál fue el motivo de la visita médica más reciente?
Al interceptar y decodificar los datos que se mueven entre el navegador del usuario, los servidores de la empresa de inteligencia artificial y tracde terceros, los investigadores descubrieron que algunos asistentes aún recopilaban y transmitían contenido de página completa desde sitios supuestamente seguros.
En cuanto a Merlín, los investigadores descubrieron una mezcla de datos sensibles que incluían registros médicos, detalles bancarios, resultados de exámenes y números de seguridad social de los contribuyentes.
Se observó que el asistente de inteligencia artificial de Peers Sider y TinaMind enviaban avisos de usuario a Google Analytics, además dedentinformación esencial como direcciones IP. Estos datos podrían utilizarse para publicidad dirigida y tracentre sitios.
Según los investigadores, otros asistentes como Copilot y Monica guardaban silenciosamente registros completos de chat en el navegador incluso después de finalizar las sesiones.
Cuando se accede a través de ciertas integraciones de navegador, ChatGPT creado por OpenAI perfiló a los usuarios en función de su edad percibida, nivel de ingresos, género e intereses y luego adaptó sus respuestas en consecuencia.
“Simplemente no hay una manera clara de que los usuarios sepan dónde termina esta información una vez recopilada”, advirtió Mandalari.
Recientemente, el director ejecutivo de OpenAI, Sam Altman, advirtió a los usuarios sobre las preocupaciones por la privacidad y dijo que deberían ser cautelosos al usar chatbots como ChatGPT para ciertos fines, ya que no cuentan con algunas garantías de privacidad como las de un médico o abogado real, por ejemplo.
¿Podrían las herramientas de IA infringir las leyes?
La investigación se llevó a cabo en Estados Unidos, pero el equipo concluyó que algunos asistentes de IA probablemente infringían las leyes de privacidad estadounidenses y europeas. En EE. UU., algunos casos parecieron infringir las normas que protegen la información médica, mientras que en la UE, los hallazgos sugirieron posibles infracciones del Reglamento General de Protección de Datos (RGPD), que establece límites estrictos al almacenamiento y la divulgación de datos personales.
Incluso cuando las empresas publican avisos de privacidad, la letra pequeña puede ser alarmante. La política de Merlin para la UE y el Reino Unido, por ejemplo, incluye nombres, datos de contacto,dentde inicio de sesión, registros de transacciones, información de pago y cualquier entrada escrita como datos que puede recopilar. Indica que esto puede utilizarse para personalización, atención al cliente o cumplimiento legal.
Sider hace declaraciones similares, añadiendo que los datos de los usuarios pueden analizarse para obtener información o para ayudar a desarrollar nuevos servicios. Menciona a Google, Cloudflare y Microsoft como posibles destinatarios de los datos, al tiempo que asegura que los socios están obligados portraca proteger la información personal.
Los propios términos de OpenAI confirman que los datos de los usuarios del Reino Unido y la UE se almacenan fuera de esas regiones, aunque la empresa afirma que los derechos de los usuarios no se ven afectados.
“Se promocionan estos productos como si hicieran que el uso de la web fuera más rápido e inteligente”, dijo. “Pero lo que ocurre en segundo plano suele ser un registro detallado de tu vida privada en línea”
A medida que los reguladores endurecen las normas de protección de datos y las empresas tecnológicas se apresuran a integrar IA en cada rincón de Internet, es probable que aumente el escrutinio de estas herramientas.
Por ahora, los investigadores recomiendan cautela. Si bien Perplexity AI evitó los riesgos de privacidad en sus pruebas, la mayoría de las demás no lo hicieron. «Si permites que una IA vea todo lo que haces en línea», dijo Mandalari, «debes asumir que, en algún lugar, de alguna manera, esa información se almacena, e incluso puede que se comparta»
