Se ha observado que una extensión de Google Chrome con una insignia «Destacado» y seis millones de usuarios recopilan silenciosamente cada mensaje ingresado por los usuarios en chatbots impulsados por inteligencia artificial (IA) como OpenAI ChatGPT, Anthropic Claude, Microsoft Copilot, DeepSeek, Google Gemini, xAI Grok, Meta AI y Perplexity.
La extensión en cuestión es Urban VPN Proxy, que tiene una calificación de 4,7 en Google Chrome Web Store. Se anuncia como el «acceso VPN gratuito mejor seguro a cualquier sitio web y desbloqueo de contenido». Su desarrollador es una empresa con sede en Delaware llamada Urban Cyber Security Inc. En el mercado de complementos de Microsoft Edge, tiene 1,3 millones de instalaciones.
A pesar de afirmar que permite a los usuarios «proteger su identidad en línea, mantenerse protegido y ocultar su IP», la extensión se actualizó el 9 de julio de 2025, cuando se lanzó la versión 5.5.0 con la recopilación de datos de IA habilitada de forma predeterminada mediante configuraciones codificadas.
Específicamente, esto se logra mediante un JavaScript ejecutor personalizado que se activa para cada uno de los chatbots de IA (es decir, chatgpt.js, claude.js, gemini.js) para interceptar y recopilar las conversaciones cada vez que un usuario que ha instalado la extensión visita cualquiera de las plataformas de destino.
Una vez que se inyecta el script, anula las API del navegador utilizadas para manejar las solicitudes de red (fetch() y XMLHttpRequest()) para asegurarse de que cada solicitud se enrute primero a través del código de la extensión para capturar los datos de la conversación, incluidas las indicaciones de los usuarios y las respuestas del chatbot, y exfiltrarlos a dos servidores remotos («analytics.urban-vpn(.)com» y «stats.urban-vpn(.)com»).
La lista exacta de datos capturados por la extensión es la siguiente:
- Indicaciones ingresadas por el usuario
- Respuestas del chatbot
- Identificadores de conversación y marcas de tiempo
- Metadatos de sesión
- Plataforma de IA y modelo utilizado
«Las extensiones de Chrome y Edge se actualizan automáticamente de forma predeterminada», dijo Idan Dardikman de Koi Security en un informe publicado hoy. «Los usuarios que instalaron Urban VPN para el propósito declarado (funcionalidad VPN) se despertaron un día con un nuevo código recopilando silenciosamente sus conversaciones de IA».
Vale la pena mencionar que la política de privacidad actualizada de Urban VPN, a partir del 25 de junio de 2025, menciona que recopila estos datos para mejorar la navegación segura y con fines de análisis de marketing, y que cualquier otro uso secundario de las indicaciones de IA recopiladas se llevará a cabo con datos no identificados y anónimos.
Como parte de los Datos de navegación, recopilaremos las indicaciones y resultados solicitados (sic) por el Usuario final o generados por el proveedor de chat de IA, según corresponda. Es decir, solo nos interesan las indicaciones de la IA y los resultados de su interacción con la IA del chat.
Debido a la naturaleza de los datos involucrados en las indicaciones de IA, es posible que se procese cierta información personal confidencial. Sin embargo, el propósito de este procesamiento no es recopilar datos personales o identificables, no podemos garantizar completamente la eliminación de toda la información personal o confidencial, implementamos medidas para filtrar o eliminar cualquier identificador o dato personal que pueda enviar a través de las indicaciones y para desidentificar y agregar los datos.
Uno de los terceros con los que comparte «datos de navegación web» es una empresa afiliada de inteligencia publicitaria y monitoreo de marca llamada BIScience. La empresa utiliza los datos sin procesar (no anonimizados) para crear información que se «usa comercialmente y se comparte con socios comerciales», señala el fabricante de software VPN.
Vale la pena señalar que BiScience, que también es propietaria de Urban Cyber Security Inc., fue denunciada por un investigador anónimo a principios de enero por recopilar el historial de navegación de los usuarios, o datos de secuencia de clics, como se les llama, bajo divulgaciones engañosas de políticas de privacidad.
Se alega que la compañía proporciona un kit de desarrollo de software (SDK) a desarrolladores de extensiones externos asociados para recopilar datos de flujo de clics de los usuarios, que se transmiten a sclpfybn(.)com y otros puntos finales bajo su control.
«BIScience y sus socios aprovechan las lagunas en las políticas de Chrome Web Store, principalmente las excepciones enumeradas en la política de uso limitado, que son los ‘casos de uso aprobados'», señaló el investigador, y agregó que «desarrollan funciones orientadas al usuario que supuestamente requieren acceso al historial de navegación, para reclamar la excepción ‘necesaria para proporcionar o mejorar su único propósito'».
En la página de lista de extensiones, Urban VPN también destaca una función de «protección de IA», que, según dice, verifica las solicitudes de datos personales, las respuestas del chatbot en busca de enlaces sospechosos o inseguros y muestra una advertencia antes de que los usuarios envíen sus solicitudes o hagan clic en ellas.
Si bien este monitoreo se formula para evitar que los usuarios compartan accidentalmente información personal, lo que los desarrolladores no mencionan es que la recopilación de datos ocurre independientemente de si la función está habilitada.
«La función de protección muestra advertencias ocasionales sobre el intercambio de datos confidenciales con empresas de inteligencia artificial», dijo Dardikman. «La función de recolección envía exactamente esos datos confidenciales, y todo lo demás, a los propios servidores de Urban VPN, donde se venden a los anunciantes. La extensión le advierte acerca de compartir su correo electrónico con ChatGPT y al mismo tiempo filtra toda su conversación a un corredor de datos».
Koi Security dijo que observó una funcionalidad de recolección de IA idéntica en otras tres extensiones únicas del mismo editor en Chrome y Microsoft Edge, lo que eleva su base de instalación total a más de ocho millones.
- Proxy 1ClickVPN
- Guardia del navegador urbano
- Bloqueador de publicidad urbana
Todas estas extensiones, con la excepción de Urban Ad Blocker para Edge, llevan la insignia «Destacado», lo que da a los usuarios la impresión de que siguen las «mejores prácticas» de la plataforma y cumplen con un alto estándar de experiencia de usuario y diseño.
«Estas insignias indican a los usuarios que las extensiones han sido revisadas y cumplen con los estándares de calidad de la plataforma», señaló Dardikman. «Para muchos usuarios, una insignia de Destacado es la diferencia entre instalar una extensión y pasarla por alto: es un respaldo implícito de Google y Microsoft».
Los hallazgos demuestran una vez más cómo se puede abusar de la confianza asociada con los mercados de extensiones para acumular datos confidenciales a escala, especialmente en un momento en el que los usuarios comparten cada vez más información profundamente personal, reciben consejos y discuten emociones con chatbots de IA.
The Hacker News se ha puesto en contacto con Google y Microsoft para hacer comentarios, y actualizaremos la historia si recibimos una respuesta.
