Un estudio preliminar de IMDEA Networks ha advertido de riesgos estructurales de privacidad en varios servicios de inteligencia artificial generativa. Tras analizar los servicios Perplexity, Anthropic Claude, xAI Grok y OpenAI ChatGPT, la investigación LeakyLM: Your AI Assistant Is Leaking Your Conversations sostiene que estas plataformas incorporan rastreadores de terceros capaces de recibir datos vinculados a conversaciones, identidades de usuario y metadatos sensibles.
Según el estudio, estos riesgos se deben a dos factores principales: la introducción de servicios de analítica y publicidad de terceros en las plataformas de IA generativa, y la existencia de mecanismos de control de acceso inseguros en algunos servicios. En determinados casos, esto puede exponer URL de conversaciones, títulos de chats, identificadores de usuario y otros metadatos sensibles a servicios externos de seguimiento.
La advertencia es relevante porque las conversaciones con asistentes de IA suelen contener información sensible, desde consultas personales hasta datos profesionales o corporativos. El propio informe subraya que, aunque no hay evidencias de que los rastreadores lean activamente las conversaciones, la difusión de enlaces permanentes y la capacidad técnica de acceder a ellos existen, por lo que el riesgo potencial debe tenerse en cuenta.
En general, el problema se enmarca en un contexto de uso creciente de la IA; según los datos, en 2025 el 32,7% de la población de la Unión Europea de entre 16 y 74 años utilizó herramientas de inteligencia artificial generativa.
Cómo se hizo
Los investigadores analizaron el comportamiento de las plataformas mediante pruebas controladas con la pestaña Network de Chrome DevTools y exportaciones de tráfico en formato HAR. El objetivo era observar qué información se transmitía a terceros durante el uso normal de los servicios.
El estudio combinó distintos escenarios: usuarios autenticados y no autenticados, aceptación o rechazo de cookies no esenciales, cuentas gratuitas y de pago, y conversaciones públicas o privadas. Para homogeneizar las pruebas, los autores utilizaron un prompt fijo relacionado con síntomas y tratamientos del cáncer de hígado, una temática sensible que permite evaluar el riesgo de exposición de consultas especialmente privadas.
Los autores decidieron no analizar Meta AI, Microsoft Copilot ni Google Gemini porque sus proveedores actúan también como actores del ecosistema publicitario o de seguimiento.
Datos hallados
En Perplexity, se observaron transmisiones de datos a Datadog, Meta Pixel y Singular. Meta Pixel recibía la cookie fbp y la URL de conversación, aunque esta integración fue retirada el 3 de abril de 2026. Datadog recibía la dirección de correo electrónico, la URL de conversación y metadatos como zona horaria e identificador de dispositivo. Singular recibía hashes de correo electrónico y metadatos del sistema operativo y del navegador. Algunas URL podían incluir parte de la primera consulta del usuario, limitada a unos 30 caracteres, lo que podía revelar la intención de la conversación.
En Claude, uno de los flujos detectados afecta a Intercom. Una conexión WebSocket persistente enviaba la URL actual de la conversación aproximadamente cada dos minutos en sesiones autenticadas, junto con datos como correo electrónico, nombre, plan de suscripción y UUID de organización. Ese flujo se activaba incluso cuando el usuario no abría el widget de soporte.
El estudio también describe reenvíos server-side desde infraestructura de Anthropic hacia once plataformas externas: Facebook Conversions API, LinkedIn Conversions API, TikTok Conversions API, Reddit Conversions API, Google Enhanced Conversions, Amplitude, Iterable, HubSpot, Pinterest Conversions API, Podscribe y DCM Floodlight. Según los autores, esta configuración solo se observó cuando el usuario aceptaba cookies no esenciales.
En ChatGPT, el hallazgo se centra en usuarios gratuitos con sesión iniciada. Google Analytics recibía la URL de la conversación y el título del chat mediante los parámetros dl y dt, incluso al rechazar cookies no esenciales. La Content-Security-Policy del servicio incluye dominios de terceros asociados a publicidad y analítica, como Facebook, TikTok, Google, LinkedIn, Bing y Reddit, pero esos rastreadores no se observaron activos durante las pruebas.
En Grok, Google Analytics y DoubleClick recibían URL de conversación, título del chat y metadatos. La conexión con Google Analytics se observó con independencia del consentimiento prestado en OneTrust. Además, un contenedor de Google Tag Manager enviaba eventos a una instancia server-side GTM; el evento sent_3_chat_messages transmitía la URL completa y el título del chat tras el envío de tres mensajes. Ese flujo podía reenviarse server-to-server a Meta Conversions API y TikTok Events API, y solo se observó tras aceptar cookies no esenciales.
Enlaces permanentes, en el punto de mira
Uno de los puntos centrales del estudio es el papel de los enlaces permanentes de conversación. Un permalink es una URL estable asociada a un chat concreto, como una dirección de tipo grok.com/share/abc123.
Según IMDEA Networks, en determinados casos estos enlaces pueden quedar accesibles con controles insuficientes. Si una URL de este tipo se transmite a rastreadores externos como Meta o Google, el riesgo no se limita al metadato: cuando el enlace permite acceder al contenido sin una autenticación adecuada, puede equivaler a exponer la propia conversación.
Los casos más relevantes en materia de acceso por enlace son Grok y Perplexity. En Grok, las conversaciones son accesibles por defecto y el usuario puede restringir el acceso; si el enlace ya se había compartido, sigue disponible salvo que se revoque expresamente desde el chat correspondiente. En Perplexity, los enlaces permanentes del modo invitado eran accesibles sin inicio de sesión.
La retirada de Meta Pixel por parte de Perplexity el 3 de abril de 2026 eliminó uno de los flujos de transmisión observados, pero no debe interpretarse como una corrección general del problema de acceso a los enlaces.
Rechazar cookies no siempre basta
El estudio indica que rechazar cookies no esenciales reduce parte del seguimiento, pero no lo elimina por completo. En Claude, esa opción evita la carga de Meta Pixel, Datadog y ciertos reenvíos server-side a once plataformas publicitarias. En Grok, también limita integraciones como TikTok, Meta Pixel y server-side GTM.
Sin embargo, hay excepciones relevantes. En Grok, Google Analytics fue observado en todos los escenarios analizados, con independencia del consentimiento prestado en OneTrust. En Claude, la integración con Intercom enviaba la URL de la conversación en sesiones autenticadas, al margen de la elección de cookies.
Los bloqueadores de anuncios también tienen un alcance limitado. Pueden reducir rastreadores cargados en el navegador, pero no impiden necesariamente transmisiones server-to-server. En Claude, los autores sostienen que Anthropic reenvía eventos a once plataformas y que proxifica analítica de Segment mediante el dominio a-cdn.anthropic.com, lo que evita bloqueadores basados en nombre de host.
Qué hacer
Las medidas propuestas por los investigadores no se reducen a una única solución técnica. El estudio recomienda revisar la configuración de privacidad, limitar la compartición de conversaciones y no confiar únicamente en los avisos de cookies o en los bloqueadores de anuncios.
En la práctica, conviene evitar compartir conversaciones cuando no esté clara su visibilidad posterior, revisar los enlaces ya generados y configurar los chats como privados siempre que el servicio lo permita. Rechazar cookies no esenciales también puede reducir parte del seguimiento, aunque no bloquea todos los flujos observados, especialmente cuando intervienen transmisiones server-to-server o integraciones de soporte y analítica.
Grupo de investigación y alcance
El estudio Your AI Assistant Is Leaking Your Conversations ha sido elaborado por un equipo vinculado principalmente a IMDEA Networks. La página oficial del proyecto identifica como autores a Aniketh Girish, Guilherme Oliveira, Guillermo Suarez-Tangil, Jorge García Herrero, Miguel Sanchez, Narseo Vallina-Rodriguez y Tautvydas Jackevičius. Entre las afiliaciones indicadas figuran IMDEA Networks, IMDEA Networks / UC3M y el perfil profesional Lawyer & DPO.
Los autores indican que siguieron principios de divulgación responsable. Según la cronología publicada, los hallazgos fueron trasladados a autoridades de protección de datos el 13 de abril de 2026 y xAI fue notificada el 17 de abril, antes de la publicación pública del documento el 4 de mayo de 2026.
El documento debe leerse como una investigación preliminar sobre privacidad y seguimiento en asistentes de IA generativa, no como una vulnerabilidad explotable en sentido clásico. Su alcance exige cautela: no afirma que terceros hayan leído de forma efectiva todas las conversaciones, sino que documenta condiciones técnicas que pueden exponer URL, títulos, identificadores y metadatos sensibles.
