Las conversaciones con IA de 8 millones de usuarios fueron vendidas con fines de lucro por una extensión de ‘privacidad’

 (koi.ai)
2 puntos por GN⁺ 2025-12-17 | 1 comentarios | Compartir por WhatsApp
  • Se confirmó que 8 extensiones de navegador, entre ellas Urban VPN Proxy, recopilaron y vendieron el contenido de conversaciones en plataformas de IA
  • Estas extensiones recopilan automáticamente los datos de conversación de 10 servicios de IA, como ChatGPT, Claude, Gemini y Copilot, sin ofrecer a los usuarios una opción para desactivarlo
  • La recopilación de datos se ejecuta de forma continua en segundo plano, sin relación con la función de VPN, y se envían todos los prompts, respuestas, marcas de tiempo e información de sesión
  • La operadora Urban Cyber Security Inc. y su afiliada BiScience venden esos datos a terceros para análisis de marketing
  • Extensiones que habían pasado la verificación de la insignia ‘Featured’ de Google y Microsoft se distribuyeron durante meses, dejando en evidencia fallas en los sistemas de protección a usuarios

Cómo se descubrió

  • El motor de riesgo Wings AI de Koi buscó extensiones de navegador capaces de enviar datos de conversaciones con IA al exterior y, contra lo esperado, Urban VPN Proxy, con una base masiva de usuarios, apareció entre los primeros resultados
  • Urban VPN Proxy es una extensión VPN gratuita que tiene más de 6 millones de usuarios, calificación de 4.7 y la insignia ‘Featured’ de Google, y se presenta como una herramienta de privacidad
  • La investigación mostró que esta extensión se distribuía con una función de escucha de conversaciones en plataformas de IA activada por defecto

Método de recopilación

  • La extensión recopila datos de forma continua independientemente de si la VPN está conectada o no
  • Cuando el usuario entra a sitios de IA como ChatGPT, Claude o Gemini, inyecta scripts dedicados (chatgpt.js, claude.js, etc.)
  • Estos scripts redefinen fetch() y XMLHttpRequest para interceptar todas las solicitudes y respuestas de red, y extraer prompts, respuestas, ID de conversación y marcas de tiempo
  • Los datos extraídos se envían al script de contenido mediante window.postMessage y luego un worker en segundo plano los transmite a servidores de Urban VPN (analytics.urban-vpn.com, etc.)
  • Entre los datos recopilados se incluyen todas las entradas y salidas, metadatos de sesión e información sobre el modelo utilizado

Línea de tiempo de versiones

  • Las versiones anteriores a 5.5.0 no tenían función de recopilación de IA
  • A partir de la versión 5.5.0, distribuida el 9 de julio de 2025, la recopilación de conversaciones con IA quedó activada por defecto
  • Luego, mediante actualizaciones automáticas, a usuarios existentes también se les agregó código de recopilación de datos sin consentimiento adicional
  • Se considera que los usuarios que usaron servicios de IA con Urban VPN instalado desde julio de 2025 tuvieron sus conversaciones almacenadas en servidores y compartidas con terceros

La realidad de la función de ‘protección de IA’

  • La descripción de la extensión indica que la “función de protección de IA” evita fugas de información personal y advierte sobre enlaces riesgosos
  • Sin embargo, el análisis del código mostró que la función de advertencia y la función de recopilación de datos operan por separado, y aunque se desactive la advertencia, la recopilación continúa
  • La extensión advierte al usuario sobre compartir su correo o número telefónico y, al mismo tiempo, envía esos datos a los servidores de Urban VPN
  • En otras palabras, se confirmó que era una estructura de extracción de datos disfrazada de protección

Propagación del mismo código

  • El mismo código de recopilación de IA también se encontró en otras 7 extensiones
    • Chrome: Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard, Urban Ad Blocker
    • Edge: las mismas 4
  • En total, más de 8 millones de usuarios se vieron afectados
  • Aunque estas extensiones se disfrazaban como categorías distintas, como VPN, bloqueador de anuncios o asistente de seguridad, compartían un backend de vigilancia común
  • La mayoría tenía la insignia ‘Featured’ de las tiendas de Google y Microsoft, por lo que circulaban con la confianza de los usuarios ya ganada

Operadora y flujo de datos

  • Urban VPN es operada por Urban Cyber Security Inc., que mantiene una relación de afiliación con el broker de datos BiScience (B.I Science Ltd.)
  • BiScience ya había llamado la atención de investigadores de seguridad por la recopilación y reventa de datos de clickstream
  • BiScience comercializa los datos recopilados a través de productos como AdClarity y Clickstream OS
  • Este caso representa una expansión de la recopilación del historial de navegación hacia la recopilación de conversaciones con IA
  • La política de privacidad indica que los datos recopilados de navegación web se comparten con BiScience para usarse como insights comerciales

Problemas de notificación al usuario

  • En la ventana emergente de consentimiento mostrada durante la instalación se menciona el “procesamiento de comunicaciones de ChatAI”, pero no se explica claramente el propósito de recopilar conversaciones con IA
  • La política de privacidad incluye una frase que indica que los datos de entrada y salida de IA se divulgan con fines de análisis de marketing
  • En cambio, la descripción en Chrome Web Store indica que “los datos no se venden a terceros”, por lo que se ofrece información contradictoria
  • Quienes instalaron la extensión antes de julio de 2025 no vieron una nueva ventana de consentimiento y recibieron la función de recopilación mediante actualización automática
  • Los usuarios no tienen opción de desactivar solo la recopilación de IA; aunque apaguen la VPN o la función de protección, la recopilación continúa

Problemas en la verificación de Google

  • Urban VPN Proxy tenía la insignia ‘Featured’ de Chrome Web Store de Google
  • Google explica que esa insignia se otorga a extensiones que cumplen con mejores prácticas técnicas y altos estándares de experiencia de usuario
  • Es decir, el código de recopilación de conversaciones con IA estaba incluido aun después de pasar la revisión manual de Google
  • Las políticas de Chrome Web Store prohíben transferir datos de usuarios a brokers de datos o plataformas publicitarias, pero BiScience se define a sí misma como broker de datos
  • Aun así, la extensión seguía publicada en la tienda

Conclusión y recomendaciones

  • Las extensiones de navegador, por sus amplios permisos y capacidad de actualización automática, requieren un alto nivel de confianza
  • Este caso muestra la recopilación y venta, bajo el pretexto de “seguridad”, de datos sensibles de conversaciones con IA de 8 millones de personas
  • Se señala como un caso en el que los sistemas de verificación de Google y Microsoft contribuyeron más a una falsa sensación de confianza que a la protección del usuario
  • Los usuarios deberían eliminar de inmediato Urban VPN y las extensiones relacionadas, y considerar la posibilidad de que sus conversaciones con IA desde julio de 2025 hayan sido compartidas con terceros

IOC (Indicator of Compromise)

  • Chrome: Urban VPN Proxy (eppiocemhmnlbhjplcgkofciiegomcon), Urban Browser Guard (almalgbpmcfpdaopimbdchdliminoign), Urban Ad Blocker (feflcgofneboehfdeebcfglbodaceghj), 1ClickVPN Proxy (pphgdbgldlmicfdkhondlafkiomnelnk)
  • Edge: Urban VPN Proxy (nimlmejbmnecnaghgmbahmbaddhjbecg), Urban Browser Guard (jckkfbfmofganecnnpfndfjifnimpcel), Urban Ad Blocker (gcogpdjkkamgkakkjgeefgpcheonclca), 1ClickVPN Proxy (deopfbighgnpgfmhjeccdifdmhcjckoe)

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-12-17
Opiniones de Hacker News

  • Yo procuro usar solo extensiones recomendadas por Mozilla
    Este programa solo incluye extensiones cuyo código fue revisado directamente por especialistas de seguridad de Mozilla
    Google no quiere contratar gente, pero esta es un área donde hacen falta ojos humanos, no escaneos automáticos
    Mozilla Recommended Extensions Program

    • Los profesionales de TI o los usuarios avanzados pueden tomar estas medidas, pero a los usuarios comunes les resulta fácil caer en descripciones llamativas e instalar extensiones maliciosas
      Los ataques de ingeniería social no se pueden detener solo con medios técnicos; al final, o mejora la conciencia de seguridad de los usuarios comunes, o existe el riesgo de que los dispositivos informáticos se vuelvan cada vez más cerrados
    • Si se quiere ser más minucioso, una opción es descomprimir manualmente el archivo XPI y revisar el código
      Si es una extensión de función simple pero el código es excesivamente complejo, hay que sospechar
      Cuando llegue el momento en que la extensión se convierta en un blob cerrado, es hora de salir corriendo
    • Pero me pregunto si Mozilla revisa cada actualización todas las veces
      Si la examinan una sola vez y luego se pueden añadir funciones maliciosas en actualizaciones posteriores mientras sigue conservando la insignia de “recomendada”, eso es peligroso
    • La mayoría de las bases de código tienen cientos de miles o millones de líneas, así que la revisión manual es prácticamente imposible
      Si está compilado desde un lenguaje como TypeScript, incluso teniendo el código fuente es difícil verificarlo por lo complejo del proceso de build
      El código malicioso nunca va a estar en main.ts, sino que probablemente esté escondido en una cadena profunda de librerías
    • Curiosamente, según el artículo, esta extensión sí recibió la insignia de “Featured” tras pasar una revisión manual

  • La empresa detrás de esta extensión es Urban Cyber Security Inc., y parece una entidad real registrada en Delaware
    Incluso publican dirección y número de teléfono
    Información de la empresa, sitio oficial, registro comercial
    A primera vista parece totalmente legítima, así que quizá ellos también sean víctimas

    • Pero juzgar la legitimidad solo por esa apariencia es peligroso
      Con unos cuantos cientos de dólares se puede montar una empresa así, y con una dirección de oficina virtual y un sitio web sencillo ya puede parecer bastante creíble
      Siempre hay que desconfiar de la información que uno ve en internet
    • Si ves Manhattan Virtual Office, la dirección de Nueva York es una oficina virtual,
      y la dirección de Delaware de The Mill Space también es un espacio de coworking
    • De hecho, Urban VPN está vinculada con BiScience, una empresa de corretaje de datos
      Esta compañía ya había llamado la atención de investigadores antes por recolectar datos de clickstream de usuarios
      La misma función de recolección de datos apareció en varias extensiones, y el hecho de que sea un servicio gratuito resulta muy sospechoso
      Me viene a la mente la frase: “Una vez es casualidad, dos veces es coincidencia, tres veces es una acción hostil”
    • Registrar una dirección en EE. UU. y conseguir un número de teléfono cuesta unos 15 dólares al mes, y constituir una empresa también cuesta apenas unos cientos de dólares
    • La dirección del agente registrado se parece a la dirección de un bufete real, pero no coincide por completo
      Enlace de referencia

  • Me sorprendió ver que el equipo de revisión de Google rechazara la mitad de mis extensiones
    La app de Uber Driver requiere permitir siempre el acceso a la ubicación en segundo plano, y no hay forma de cambiarlo en la configuración
    Publicación relacionada en el foro

    • Si Google realmente se tomara en serio la protección del usuario, habría bloqueado la solicitud persistente de permiso de micrófono de apps como WhatsApp
      Solo las apps de Meta parecen ignorar la opción de “preguntar siempre”
      Parece que Google se preocupa más por los anunciantes que por los usuarios
    • Probablemente se deba a que el permiso de “While using” incluye la ejecución de navegación en segundo plano
      Está explicado en la documentación para desarrolladores de Apple
    • También hay casos donde la distinción entre permisos de app es ambigua
      Por ejemplo, solo se necesita conexión por Bluetooth, pero aun así se exige permiso de “acceso a datos de ubicación”

  • El modelo de permisos de las extensiones de navegador está fundamentalmente mal
    Se otorgan todos los permisos de una sola vez al instalar, y después no sabes qué podría pasar en actualizaciones futuras
    Se necesitan solicitudes de permiso en tiempo de ejecución, como en iOS
    La insignia de “Recommended” es solo un parche temporal, y extensiones que necesitan permiso para “leer/modificar datos de todos los sitios” ni siquiera deberían existir

    • Actualmente solo se puede elegir entre un sitio específico o todos los sitios, así que es demasiado extremo
      Incluso extensiones que solo aplican a algunos sitios piden acceso a todos los sitios
      Creo que para 2025 hace falta un modelo de permisos más granular basado en sandbox

  • Me sorprendió ver la frase “Abrí Claude hace unas semanas para tomar una decisión importante de vida”
    De verdad parece que vivimos en esta clase de época

    • Antes la gente tomaba decisiones echándolo a la suerte, y ahora se las deja a un predictor sin comprensión real
      Los humanos dependen cada vez más de la IA para evitar el caos mental de pensar
    • Algunas personas necesitan poner sus pensamientos por escrito para ordenarlos
      En ese sentido, podría decirse que su cerebro funciona como un LLM
    • A mí me parece una locura dejarle decisiones a una IA
      Usé Claude dos veces y no me sirvió de mucho
      A veces solo uso los resúmenes de IA de DuckDuckGo
    • Pero según una investigación de HBR, el caso de uso más común de ChatGPT es “terapia/compañero de conversación”
      Fuente
    • Dejar decisiones de vida en manos de una IA es una tontería, pero sí puede ser útil como herramienta para ordenar ideas y hacerse preguntas

  • Ya había visto directamente el rastreo de BiScience en el pasado, así que esto no me sorprende
    También se mencionó antes en el incidente del hackeo de la extensión de Cyberhaven
    Blog relacionado 1, blog relacionado 2

  • No entiendo por qué tanta gente confía en un VPN gratis
    “Entréganos todo tu tráfico, somos gratis”; ni loco acepto eso

    • Los ISP entregan todos los registros de conexión cuando el gobierno los solicita, pero VPN como Mullvad operan sin KYC, así que ni siquiera con una orden de cateo se expusieron datos de clientes
      Caso relacionado
    • Los ISP también manejan todo el tráfico, así que no son distintos de un VPN
      Para eso existe TLS
      Hay que asumir que, por defecto, el tráfico de internet está intervenido
    • En algunos países de bajos ingresos no queda más remedio que usar un VPN gratis por restricciones de acceso
      Pero personalmente no confío en nada fuera de Mullvad/IVPN/ProtonVPN
    • La mayoría simplemente usa VPN gratis para ver contenido bloqueado, como torrents, porno o apuestas
      Esa gente evita compromisos a largo plazo, busca “VPN gratis” y lo instala de inmediato
      En realidad, ese hábito se parece bastante al abuso de extensiones
    • Aun así, gracias a TLS no te van a robar los datos bancarios tan fácilmente

  • Google debería revisar y eliminar este tipo de extensiones con más rigor
    La confianza es clave, y extensiones como LastPass o Ward sí tienen valor real
    Hace falta algo como un directorio público de seguridad de extensiones

    • Pero dudo que una revisión de código pueda detectar problemas así
      Que una extensión se presente como “herramienta de protección para IA” mientras recolecta datos es coherente con su funcionalidad
      El problema no es el código sino la política y el uso de los datos
    • La revisión automatizada por sí sola tiene límites
      A partir de cierto número de instalaciones, una persona debería revisarla directamente, pero a Google no parece gustarle ese enfoque
    • También me pregunto si Google realmente está haciendo revisión de código
    • Con una revisión de código no se puede saber qué pasa después con los datos de conversación de los usuarios

  • Había escuchado que Manifest V3 hace más seguras las extensiones de Chrome, pero no estoy seguro de que realmente sea así

    • Aun así, gracias a Manifest V3 el código tuvo que quedar incluido dentro de la extensión, lo que permitió bloquear la carga de scripts externos
      Antes ese tipo de detección era imposible
    • Pero al final uno vuelve a la misma pregunta: ¿cómo ganan dinero?

  • En este caso no hackearon el sistema; la extensión era fraudulenta desde el principio
    Antes disfrutaba personalizar cosas con Greasemonkey, pero ahora solo confío en extensiones de código abierto como Privacy Badger y Ublock Origin
    Aun así, el riesgo sigue existiendo