Las conversaciones con herramientas de inteligencia artificial pueden no ser tan privadas como muchos usuarios imaginan. Un estudio de IMDEA Networks Institute ha detectado la presencia de rastreadores publicitarios en servicios como ChatGPT, Claude, Grok y Perplexity AI, lo que abre un nuevo debate sobre qué ocurre realmente con los datos que se generan dentro de estas plataforma.
El informe pone el foco en una sensación bastante extendida: muchas personas usan estos sistemas como asistentes de confianza y comparten información personal, profesional o incluso sanitaria pensando que se trata de una conversación cerrada. Sin embargo, los investigadores advierten de que, aunque la interfaz tenga apariencia de chat privado, por debajo funcionan infraestructuras muy parecidas a las de la web tradicional, donde intervienen servicios de analítica, seguimiento y publicidad digital.
Uno de los principales riesgos está en los enlaces permanentes de las conversaciones. Según el estudio, algunas plataformas pueden exponer a terceros información como títulos de chats, direcciones URL asociadas a conversaciones o metadatos, junto con cookies y otros identificadores. En la práctica, esto podría permitir que determinados rastreadores conecten parte de esa actividad con perfiles de usuario.
Por su parte, Narseo Vallina Rodríguez, profesor de investigación asociado en IMDEA Networks, ha explicado que el problema se agrava cuando esos enlaces tienen controles de acceso débiles o inexistentes. En esos casos, un simple enlace a una conversación podría dar acceso al contenido del chat a cualquiera que tenga la URL, incluidos rastreadores externos.
El estudio señala especialmente a Grok y Perplexity, que habrían enviado URL de conversaciones con controles débiles a rastreadores de terceros como Meta Pixel. Además, los investigadores apuntan que Grok habría llegado a exponer texto de los mensajes en metadatos de Open Graph que TikTok puede recopilar. Es decir, no se trata solo de medir el uso de la plataforma, sino de posibles flujos de datos mucho más sensibles.
Otro de los puntos delicados es la posibilidad de vincular estas interacciones con identidades reales. La combinación de cookies, correos electrónicos hasheados y técnicas de seguimiento del lado del servidor podría facilitar la creación de perfiles persistentes, incluso cuando el usuario no es plenamente consciente de que ese rastreo está ocurriendo.
En este sentido, Aniketh Girish, investigador postdoctoral en IMDEA Networks, ha advertido de que la mayoría de usuarios no tiene forma de saber que estos procesos están activos, porque no aparece ninguna señal clara dentro de la interfaz. Además, ha señalado que rechazar las cookies no esenciales puede ayudar en algunos casos, pero no siempre basta para evitar estos flujos de información.
La investigación también cuestiona la claridad de algunos controles de privacidad. Guillermo Suárez-Tangil, coautor del estudio, ha subrayado que las políticas de privacidad pueden admitir el uso de rastreadores publicitarios y el intercambio de datos con socios comerciales, pero no siempre explican de forma clara si las conversaciones reales forman parte de la información compartida.
Desde el punto de vista regulatorio, el informe apunta a un doble problema bajo el marco del RGPD: la posible falta de una base legal clara para compartir ciertos datos y la escasa información que reciben las personas usuarias sobre estos procesos. Para los autores, la advertencia sobre el uso de información sensible por parte del ecosistema publicitario debería tener una visibilidad mucho mayor, similar a los avisos que recuerdan que la IA puede cometer errores.
Aunque los resultados son preliminares, el estudio abre una conversación incómoda pero necesaria: si la IA generativa se está convirtiendo en una herramienta cotidiana para trabajar, estudiar, consultar dudas o hablar de temas personales, sus garantías de privacidad no pueden quedarse en una promesa general. La transparencia, el control de acceso y la protección de datos tendrán que avanzar al mismo ritmo que el uso masivo de estas plataformas.