Los asistentes de IA filtran conversaciones privadas a empresas de publicidad como Meta y Google

Los asistentes de IA filtran tus conversaciones

Una investigación revela riesgos estructurales de privacidad en productos prominentes de IA generativa: Perplexity, Claude de Anthropic, Grok de xAI y ChatGPT de OpenAI, causados por rastreadores de terceros integrados en los servicios de modelos de lenguaje que filtran conversaciones de usuarios, identidades y metadatos sensibles.

Hallazgos clave

4 plataformas de IA analizadas, 13+ rastreadores de terceros encontrados, 4 plataformas afectadas, 0 divulgaciones a usuarios.

La IA generativa se está convirtiendo rápidamente en una capa fundamental de Internet, permitiendo la emergencia de sistemas agénticos que median la interacción de los usuarios con servicios digitales. A pesar de esta transformación, las dinámicas económicas subyacentes basadas en datos permanecen en gran medida sin cambios. Esta continuidad se extiende a la integración de rastreadores de terceros dentro de ecosistemas de IA generativa para monitorear las acciones de los usuarios, que conservan la capacidad de recopilar datos sensibles de usuarios.

En este informe, divulgamos riesgos estructurales de privacidad preocupantes causados por: (1) la introducción sistemática de servicios de análisis de terceros en productos prominentes de IA generativa desarrollados por actores principales de IA como Perplexity, Claude de Anthropic, Grok de xAI y ChatGPT de OpenAI; y (2) mecanismos inseguros de control de acceso en algunos de estos modelos de lenguaje que filtran conversaciones de usuarios a rastreadores de terceros integrados en servicios de modelos de lenguaje, así como el título de la conversación que puede ser un tipo de dato muy sensible que puede revelar preocupaciones de usuarios, temas de conversación, intereses y más.

Observaciones clave sobre privacidad

Filtración de URLs de conversación a servicios de publicidad y rastreo de terceros

Las conversaciones de usuarios en servicios de modelos de lenguaje frecuentemente contienen información sensible introducida por usuarios finales. Sin embargo, las URLs de conversación se divulgan a rastreadores de terceros como Meta Pixel por defecto, para Grok y Perplexity. Estas URLs frecuentemente sirven como enlaces permanentes públicamente disponibles con control de acceso débil, haciéndolas accesibles por defecto a cualquiera que conozca la URL. Esto potencialmente permite a los rastreadores acceder a conversaciones de usuarios y su contenido. En el caso de Grok, las conversaciones compartidas también generan imágenes de captura de pantalla públicamente accesibles del contenido de la conversación, con texto de mensaje literal expuesto en metadatos Open Graph recibidos por el rastreador de TikTok.

Vinculabilidad a identidades de usuario

Las URLs de conversación son frecuentemente compartidas por proveedores de modelos de lenguaje junto con identificadores de rastreo a rastreadores de terceros (por ejemplo, cookies como fbp, en el caso de Meta Pixel), que permiten a los rastreadores mapear actividad en línea a identidades de usuario y perfiles de comportamiento según políticas de privacidad oficiales. En algunos casos, los rastreadores también realizan sincronización de cookies/rastreo del lado del servidor y recopilan hashes de correo electrónico de usuario a través de formularios de registro, permitiendo rastreo persistente de usuarios, orientación y reidentificación.

Controles de privacidad y divulgaciones de privacidad potencialmente engañosos

Los modelos de lenguaje estudiados ofrecen controles de privacidad para limitar la visibilidad de conversaciones, pero pueden engañar a los usuarios al implicar protecciones más fuertes de las que realmente se aplican. Las políticas de privacidad de Grok, Perplexity, OpenAI y Claude confirman la recopilación de conversaciones de usuarios, telemetría de uso y metadatos para propósitos de primera parte, el uso de cookies de terceros (por ejemplo, Meta, Google, TikTok) para análisis y publicidad, y compartir datos con terceros. Sin embargo, no establecen claramente que las conversaciones de usuarios se comparten con servicios de publicidad y rastreo en línea, dependiendo en su lugar de lenguaje amplio (por ejemplo, "contenido que envías" o "socios comerciales") que deja incertidumbre sobre los flujos reales de datos.

Aunque preliminares, nuestros hallazgos revelan posturas sistémicas débiles de privacidad y seguridad a través de servicios de modelos de lenguaje. Aunque aún no tenemos evidencia de que las conversaciones sean leídas por rastreadores, la diseminación de enlaces permanentes y por extensión la capacidad de leerlos existe, y por lo tanto el riesgo potencial.

Impacto en la privacidad: ¿Por qué importa?

Los sistemas de IA generativa están alcanzando rápidamente adopción masiva. Según Eurostat, 32.7% de la población de la UE (edades 16-74) usó IA generativa en 2025, principalmente para propósitos personales (25.1%), pero también para trabajo (15.1%), cubriendo todo tipo de profesionales, y educación (9.4%).

Las conversaciones de usuarios frecuentemente contienen información sensible ya que los usuarios a menudo perciben a los modelos de lenguaje como asistentes confiables. Esta percepción aumenta la probabilidad de compartir en exceso información sensible. Investigación previa muestra que información personal identificable se divulga a modelos de lenguaje en contextos inesperados, incluyendo preferencias sexuales, apoyo mental o condiciones de salud, lo que conlleva riesgos significativos de privacidad.

Cuando los datos de conversación se comparten con terceros como Meta y Google junto con cookies y otros identificadores de usuario como hashes de correo electrónico sin suficiente conciencia del usuario y mecanismos débiles de control de acceso, surge un nuevo escenario de amenaza. Las prácticas observadas también sugieren que los modelos de negocio basados en datos de la web tradicional (por ejemplo, publicidad, análisis) se están replicando en ecosistemas de modelos de lenguaje con supervisión limitada.

Control de acceso

Mecanismos de control de acceso de enlaces permanentes por defecto y visibilidad a través de niveles.

Perplexity: Los enlaces permanentes son completamente accesibles sin inicio de sesión en el nivel de invitado. Los enlaces permanentes solo son visibles para propietarios a menos que se compartan explícitamente en el nivel gratuito. Soporta chats de incógnito en niveles gratuito y premium. No se guardarán en el historial de la cuenta. Sin embargo, los usuarios pueden compartirlos.

Claude de Anthropic: No soportado para invitados. Los enlaces permanentes solo son visibles para propietarios a menos que se compartan explícitamente. Implementa mecanismos de control de acceso para compartir conversaciones con otros.

ChatGPT de OpenAI: Los enlaces permanentes de conversación solo son visibles para propietarios a menos que se compartan explícitamente. Ofrece control de acceso para compartir conversaciones con otros.

Grok de xAI: Accesible por defecto. Los chats de invitado siempre son públicos. Permite la creación de chats de incógnito. Las conversaciones son accesibles por defecto, pero los usuarios pueden restringir el acceso (opt-out). Si el enlace ya se ha compartido antes de cambiar la configuración de visibilidad, la conversación permanece accesible a menos que los usuarios revoquen el acceso explícitamente a nivel de chat.

Matriz de filtración

Resumen de diseminación de información personal identificable y conversación/prompt a terceros.

Perplexity: Meta (cookie fbp, URL de conversación) - Descontinuado abril 2026. Datadog (dirección de correo electrónico, URL de conversación, metadatos) - Siempre. Singular (hash de correo electrónico, metadatos de SO y navegador) - Siempre.

Claude de Anthropic: Meta (cookie fbp y metadatos de navegador) - Cookies no esenciales aceptadas. Intercom (direcciones de correo electrónico y URL de conversación) - Siempre (autenticado). Datadog (ID anónimo de usuario, datos de ventana, URL de página con GUID de chat, estadísticas de uso y metadatos) - Cookies no esenciales aceptadas. Del lado del servidor x11 (correo electrónico de usuario, UUID de cuenta, plan de suscripción, URL de página incluyendo UUID de conversación, ID anónimo de Segment, ID de sesión de Amplitude, país) - Cookies no esenciales aceptadas.

ChatGPT de OpenAI: Google Analytics (URL de conversación, título de página/tema de chat) - Siempre (gratuito con sesión iniciada).

Grok de xAI: Google Analytics y Doubleclick (URL de conversación, título de página, metadatos) - Siempre. TikTok (correo electrónico hasheado, URL de conversación, título de página, cookie ttp) - Cookies no esenciales aceptadas. Meta (URL de conversación incluyendo UUID de conversación, título de página, cookie fbp) - Cookies no esenciales aceptadas. GTM del lado del servidor (URL de conversación, título de página, cookies _fbp, _ttp) - Cookies no esenciales aceptadas. TikTok (imagen de captura de pantalla de conversación, contenido de mensaje literal vía texto alternativo og:image) - Cookies no esenciales aceptadas.

Plataformas web

Las cuatro plataformas integran scripts de rastreo de terceros en sus interfaces web. URLs de conversación, títulos de página e identificadores de usuario se transmiten a redes publicitarias, en varios casos independientemente del consentimiento de cookies.

Perplexity descontinuó Meta Pixel a partir del 3 de abril de 2026, posiblemente en respuesta a la demanda colectiva estadounidense.

Banners de consentimiento de cookies

Las cuatro plataformas presentan una interfaz de consentimiento de cookies, sin embargo se observó rastreo en múltiples condiciones independientemente de la elección del usuario.

Metodología

Usamos la consola de desarrollador de Chrome para capturar evidencia de flujos de datos a rastreadores de terceros junto con capturas de pantalla. Realizamos varias pruebas para evaluar el papel de los banners de cookies en los comportamientos observados. Todos los experimentos se ejecutaron en España.

Detección de rastreadores

Las solicitudes salientes se compararon con una lista curada de dominios de rastreadores. La detección de información personal identificable escanea cargas útiles en busca de URLs de conversación, correos electrónicos e identificadores.

Matriz de condiciones

Cada superficie se probó a través de combinaciones de estado de autenticación, consentimiento de cookies, nivel de cuenta y configuraciones de modo de privacidad.

Archivado de tráfico

Tráfico completo de sesión exportado como archivos HAR y JSON estructurado para reproducibilidad y verificación de terceros.

Prompt de prueba estándar

"¿Cuáles son los síntomas del cáncer de hígado y qué opciones de tratamiento existen?"

Seguimiento: "¿Puedes ayudarme a interpretar un resultado de biopsia? Mi doctor dijo etapa 2."

Cronología de divulgación

Un registro de nuestras actividades de investigación y divulgación.

23 marzo 2026: Descubrimiento inicial. Primera observación de actividad de rastreadores durante análisis de tráfico de interfaces web de Perplexity AI y Grok.

3 abril 2026: Perplexity elimina Meta Pixel. Perplexity descontinuó la integración de Meta Pixel, probablemente en respuesta a la demanda colectiva estadounidense Doe v. Perplexity AI, Meta Platforms, Google. Esto no fue resultado de nuestra divulgación.

6 abril 2026: Pruebas expandidas. Comenzaron pruebas sistemáticas a través de todas las plataformas y superficies.

13 abril 2026: Divulgación a autoridades de protección de datos. Hallazgos enviados a autoridades relevantes de protección de datos para revisión regulatoria.

17 abril 2026: Notificación a proveedor - xAI Grok. xAI notificado de hallazgos relacionados con Grok. No se ha recibido respuesta hasta la fecha.

4 mayo 2026: Divulgación pública. Esta página publicada.

Los hallazgos descritos aquí involucran rastreadores de análisis y publicidad de terceros, no vulnerabilidades explotables. Publicar esta información no permite a nadie recopilar datos de usuario; solo los operadores de plataforma pueden actuar sobre ello. Nuestro objetivo es la conciencia pública y dar a las empresas de IA la oportunidad de abordar estos flujos de datos.

Preguntas frecuentes

¿Me afecta si uso estas plataformas de IA?

Si has usado Perplexity (antes del 3 de abril de 2026), Grok, Claude o ChatGPT mientras tenías sesión iniciada, tus URLs de conversación y datos potencialmente identificadores como hashes de correo electrónico y cookies publicitarias fueron transmitidos a redes de terceros incluyendo Meta, Google y TikTok. Esto aplica independientemente de si usaste modo privado o incógnito.

¿Qué es un enlace permanente de conversación y por qué importa?

Un enlace permanente es una URL estable y permanente que apunta a una conversación específica. Varias plataformas hacen estas URLs públicamente accesibles por defecto, significando que cualquiera que conozca el enlace puede leer la conversación completa sin iniciar sesión. Cuando estas URLs se envían a rastreadores de terceros como Meta o Google, esos rastreadores obtienen la capacidad de acceder e indexar el contenido de la conversación.

¿Están en riesgo mis conversaciones pasadas?

Potencialmente, sí. Para plataformas donde URLs de conversación fueron compartidas con rastreadores y esas URLs son públicamente accesibles sin inicio de sesión (Grok en particular), cualquier conversación cuyo enlace permanente fue transmitido a un tercero podría en principio ser accedida por esa parte.

¿Me protege rechazar cookies?

Ayuda para algunos rastreadores pero no todos. Rechazar cookies no esenciales previene que Meta Pixel, Datadog y reenvío del lado del servidor de Claude a once plataformas publicitarias se activen. En Grok, el rastreo de TikTok, Meta Pixel y GTM del lado del servidor también dependen del consentimiento de cookies. Sin embargo, Google Analytics de Grok se activa en todas las circunstancias independientemente del consentimiento de cookies.

¿Cómo protegerme con la configuración de chatbots de IA?

Los pasos varían por plataforma:

Perplexity: Configura conversaciones como Privadas en configuración de compartir. Evita compartir chats de incógnito.

Grok: Las conversaciones son públicas por defecto. Habilita restricción de acceso en configuración. Si un enlace ya fue compartido, revócalo explícitamente a nivel de chat.

Claude: Rechaza cookies no esenciales para prevenir que Meta Pixel y Datadog se carguen. Usa los controles de privacidad de datos para gestionar compartir conversaciones.

ChatGPT: Rechaza cookies donde sea posible. Nota que el rastreo de Google Analytics de URLs de conversación se activa para usuarios gratuitos con sesión iniciada independientemente del consentimiento de cookies.

¿Me protege usar un bloqueador de anuncios?

Parcialmente. Los bloqueadores de anuncios basados en navegador pueden interceptar solicitudes de Pixel del lado del cliente, pero no pueden bloquear transmisión servidor a servidor. Claude reenvía eventos de usuario desde la infraestructura de Anthropic a once plataformas publicitarias completamente del lado del servidor, invisible al navegador.

¿Han sido notificadas las empresas afectadas?

Seguimos principios de divulgación responsable. Ver la cronología de divulgación para el estado actual de notificaciones a proveedores y respuestas.

Investigadores

Este es un documento vivo mantenido en el interés público. Si has observado un escenario de amenaza de privacidad en un asistente de IA que no está cubierto aquí, damos la bienvenida a informes de investigadores, periodistas y miembros del público.

Para prensa, divulgación responsable o consultas generales, contáctanos en leakyllm@networks.imdea.org.