El incidente de enero de 2026
Dos extensiones de Chrome descubiertas en enero de 2026 — "Chat GPT para Chrome con GPT-5, Claude Sonnet y DeepSeek AI" (más de 600,000 usuarios) y "AI Sidebar con Deepseek, ChatGPT, Claude y más" (más de 300,000 usuarios) — se encontraron exfiltrando historias completas de conversaciones de IA cada 30 minutos a un servidor remoto de comando y control.
Las extensiones se presentaron como herramientas de privacidad y mejora de IA. Sus descripciones en la Chrome Web Store enfatizaban la protección de datos del usuario y un diseño centrado en la privacidad. Su comportamiento real — confirmado por el análisis de Astrix Security — era capturar historias completas de conversaciones de ChatGPT, DeepSeek y otras plataformas de IA, y luego transmitirlas a un servidor controlado por un atacante. Las conversaciones capturadas incluían código fuente, información personalmente identificable, discusiones sobre estrategias legales, planes de negocio y datos financieros.
Las extensiones solicitaron permiso para "recoger datos analíticos anónimos y no identificables." En realidad, recogieron datos completamente identificables y altamente sensibles con la máxima fidelidad.
El problema de la inversión de seguridad
Los usuarios que instalan específicamente extensiones de privacidad de IA están expresando una preferencia por herramientas que protegen sus conversaciones de IA. El incidente de enero de 2026 documentó el peor resultado de esa preferencia: la herramienta instalada con fines de privacidad es, en sí misma, el mecanismo de exfiltración de datos.
Esto no es simplemente un riesgo a considerar — es un resultado documentado que afecta a 900,000 usuarios simultáneamente. El escaneo automatizado de la Chrome Web Store no detectó el comportamiento malicioso porque la recolección de datos de las extensiones estaba disfrazada como analítica. Las reseñas de los usuarios no revelaron el problema porque los usuarios no tenían visibilidad sobre el tráfico de la red.
La investigación de Incogni encontró que el 67% de las extensiones de Chrome de IA recopilan activamente datos de usuarios — una cifra que incluye tanto la recolección de analíticas divulgadas como la exfiltración no divulgada. La pregunta significativa para los equipos de TI empresariales que implementan extensiones de privacidad de IA no es "¿esta extensión recopila algún dato?" sino "¿puedo verificar que el flujo de datos de esta extensión es arquitectónicamente incapaz de exfiltrar el contenido de las conversaciones?"
La prueba de verificación de arquitectura
La prueba de verificación para el procesamiento local confiable es técnica, no declarativa: ¿puede el procesamiento local reclamado por la extensión ser verificado de forma independiente mediante el monitoreo de red?
Una extensión que procesa la detección de PII localmente — ejecutando el modelo de detección del lado del cliente usando TensorFlow.js, WASM o un binario local — produce cero tráfico de red saliente durante la fase de detección de PII. El monitoreo de red en la estación de trabajo del usuario debería mostrar ninguna conexión a ningún servidor externo entre el evento de pegar del usuario y la presentación a la plataforma de IA. El único tráfico saliente debería ser el aviso anonimizado que va al proveedor de IA.
Una extensión que enruta el tráfico a través de un servidor proxy — incluso si el proxy se describe como un "retransmisor que preserva la privacidad" — envía contenido del usuario a un servidor de terceros. La seguridad del operador del proxy ahora es parte del modelo de amenaza del usuario.
Para los equipos de TI empresariales que añaden extensiones de navegador a la lista aprobada corporativa, el protocolo de verificación es: desplegar la extensión en un entorno de red monitoreado, generar tráfico de prueba representativo y verificar que no ocurra ninguna conexión saliente a los servidores del editor de la extensión durante el procesamiento de PII. Las extensiones que no pueden pasar esta prueba no deberían ser aprobadas para su implementación empresarial independientemente de sus compromisos de privacidad declarados.
La arquitectura de procesamiento local — donde toda la detección se ejecuta del lado del cliente sin componente del lado del servidor para el paso de anonimización — es la propiedad arquitectónica que hace que las afirmaciones de privacidad de la extensión sean verificables de forma independiente, en lugar de requerir confianza en las afirmaciones del editor.
Fuentes: