Google Chrome instala en silencio un modelo de IA de 4 GB en el dispositivo sin consentimiento

• En el perfil de usuario de Chrome se crea el directorio OptGuideOnDeviceModel y un archivo weights.bin de unos 4 GB, que corresponde al archivo de pesos del LLM on-device Gemini Nano
• Recientemente, Chrome adoptó una mecánica para descargar en dispositivos que cumplen los requisitos de hardware modelos para funciones de IA como “Help me write” y detección de fraude on-device, sin mostrar un aviso de consentimiento al usuario ni una casilla explícita en la configuración
• En la verificación de un perfil nuevo en Apple Silicon, .fseventsd, Local State de Chrome, ChromeFeatureState y los logs de GoogleUpdater muestran que el directorio del modelo se creó, descomprimió y movió a su ubicación final automáticamente durante 14 minutos y 28 segundos el 24 de abril de 2026
• La pastilla de “AI Mode” de Chrome 147 no usa el modelo Nano on-device, sino que es una interfaz de Search Generative Experience basada en la nube que envía consultas a los servidores de Google; Nano se usa para funciones aparte como “Help-Me-Write”, sugerencias de IA para grupos de pestañas, smart paste y resúmenes de páginas
• La distribución silenciosa del modelo de 4 GB plantea cuestiones relacionadas con el Artículo 5(3) de la ePrivacy Directive, los principios de transparencia y minimización por defecto del GDPR, y el costo de ancho de banda y carbono desde la perspectiva ESG; al desplegarse en 1.000 millones de dispositivos, se calcula en 4 EB de transferencia, 240 GWh y 60.000 toneladas de CO2e

Archivos instalados en disco y cómo funciona

• En el perfil de usuario de Chrome se crea el directorio OptGuideOnDeviceModel y un archivo weights.bin de aproximadamente 4 GB; este archivo se presenta como el archivo de pesos de Gemini Nano, el LLM on-device de Google
• Chrome usa este archivo para “Help me write”, detección de fraude on-device y otras funciones de navegador asistidas por IA, y en las versiones recientes de Chrome, si las funciones de IA están activadas por defecto, los dispositivos que cumplen los requisitos de hardware pasan a ser considerados objetivos de despliegue
• Durante la instalación no se muestra al usuario ningún aviso de consentimiento, y en la configuración de Chrome tampoco aparece una casilla del tipo “descargar modelo de IA de 4 GB”
• En instalaciones de Windows, varios reportes independientes documentaron que aunque el usuario borra el archivo, Chrome lo vuelve a descargar; para bloquearlo de forma persistente se requiere chrome://flags, herramientas de políticas empresariales o desinstalar Chrome
• En macOS, el archivo se crea con propiedad del usuario y modo 600, por lo que en principio puede borrarse, pero Chrome guarda el estado de la instalación en Local State y, si el servidor de variations vuelve a considerar apto el perfil, la descarga se reanuda

Verificación en un perfil nuevo de Apple Silicon

• Entorno de verificación

  • El 23 de abril de 2026 se creó un directorio de datos de usuario de Chrome para auditoría automática, usado en una auditoría de privacidad de 100 sitios de WebSentinel
  • El controlador de auditoría, basado en Chrome DevTools Protocol, realizaba carga de páginas, espera de 5 minutos, captura de eventos y cierre de Chrome entre sitios, y no hubo entrada humana de teclado o mouse después de crear el perfil
  • No se manipuló directamente ni la interfaz de “AI mode” de Chrome ni la interfaz completa de Chrome; el controlador de auditoría interactuó solo con los documentos y con CDP, y tampoco accedió a la omnibox
  • Durante la limpieza del 29 de abril se confirmó con du -sh que el perfil de auditoría contenía pesos OptGuideOnDeviceModel de unos 4 GB

• Línea de tiempo de instalación registrada por .fseventsd

  • El log de eventos del sistema de archivos .fseventsd del kernel de macOS registra creación, modificación y borrado de archivos de forma independiente a los logs de la aplicación, no puede ser alterado remotamente por Chrome o Google, y los archivos de páginas de eventos permanecen incluso después de borrar los archivos referenciados
  • A las 16:38:54 CEST del 24 de abril de 2026, Chrome creó el directorio OptGuideOnDeviceModel dentro del perfil de auditoría
  • A las 16:47:22 CEST del 24 de abril de 2026 se crearon tres directorios temporales bajo /private/var/folders/.../com.google.Chrome.chrome_chrome_Unpacker_BeginUnzipping.*/, y uno de ellos registró weights.bin, manifest.json, _metadata/verified_contents.json y on_device_model_execution_config.pb
  • En ese mismo momento, otro proceso unpacker registró una actualización de Certificate Revocation List y una actualización de preload-data del navegador, lo que sugiere que la actualización de seguridad, la actualización de preload y el modelo de IA de 4 GB se procesaron en lote durante la misma ventana de inactividad
  • A las 16:53:22 CEST del 24 de abril de 2026, el weights.bin descomprimido se movió a OptGuideOnDeviceModel/2025.8.8.1141/weights.bin, y junto con él se colocaron adapter_cache.bin, encoder_cache.bin, _metadata/verified_contents.json y la configuración de ejecución
  • Al mismo tiempo, los destinos de modelo 40, 49, 51 y 59 del enum optimization-guide de Chrome quedaron registrados de nuevo en optimization_guide_model_store; se presentan como modelos más pequeños de seguridad de texto y enrutamiento de prompts usados junto con el LLM
  • El tiempo total de instalación, desde la creación del directorio hasta el movimiento final, fue de 14 minutos y 28 segundos, y durante ese lapso no hubo manipulación humana del perfil

• Rastros del propio Chrome y logs de GoogleUpdater

  • El JSON Local State del perfil de auditoría de Chrome incluye un bloque optimization_guide.on_device, donde model_validation_result registra attempt_count: 1, result: 2, component_version: "2025.8.8.1141"
  • El mismo bloque incluye performance_class: 6, vram_mb: "36864", lo que se presenta como evidencia de que Chrome leyó la GPU y la memoria unificada total para determinar si el dispositivo era apto para recibir el modelo antes de exponer funciones de IA al usuario
  • En ChromeFeatureState del perfil de auditoría, OnDeviceModelBackgroundDownload<OnDeviceModelBackgroundDownload y ShowOnDeviceAiSettings<OnDeviceModelBackgroundDownload aparecen dentro del bloque enable-features
  • Se presenta que la primera bandera activa la descarga silenciosa y la segunda expone la sección de IA on-device en chrome://settings; como ambas están atadas a la misma bandera de rollout, se interpreta que la instalación comienza antes de que exista una oportunidad de rechazarla desde la interfaz de configuración
  • Los logs de GoogleUpdater registran que el componente de control del modelo on-device con appid {44fc7fe2-65ce-487c-93f4-edee46eeaaab} se descargó desde http://edgedl.me.gvt1.com/edgedl/diffgen-puffin/...; este archivo de control comprimido de 7 MB llegó el 20 de abril de 2026, tres días antes de crear el perfil de auditoría
  • Ese componente de control es independiente del perfil y se inicia automáticamente mediante un LaunchAgent que se ejecuta cada hora; aunque la URL de transferencia usa HTTP, la integridad se verifica mediante la firma CRX-3 dentro del paquete
  • El componente de control entrega a Chrome el manifest que apunta a los pesos reales, y OnDeviceModelComponentInstaller interno de Chrome, una ruta de código separada de GoogleUpdater, descarga directamente desde el CDN de Google los pesos de varios GB

• Escala y reportes previos

  • Los reportes de la comunidad sobre el directorio OptGuideOnDeviceModel y el archivo weights.bin llevan más de un año, y en 2026 cambian la escala y la posibilidad de verificación
  • La cuota de mercado global de Chrome se presenta como superior al 64%, y el número estimado de usuarios de Chrome en 2026 varía entre 3.450 millones y 3.830 millones según la fuente
  • A medida que las funciones de Gemini se integran con más fuerza en Chrome, este comportamiento deja de ser un problema limitado a unos pocos usuarios avanzados o a ciertas plataformas, y pasa a afectar a cientos de millones de dispositivos en todos los sistemas operativos de escritorio donde Chrome está disponible

Un patrón similar al caso de Anthropic

• Empaquetado forzado fuera del límite de confianza

  • En el caso de Anthropic, después de instalar Claude Desktop se registraron configuraciones de Native Messaging en Brave, Edge, Arc, Vivaldi, Opera y Chromium, mientras que en el caso de Chrome, Chrome registró un modelo de IA de 4 GB en el perfil del usuario
  • weights.bin se distingue no como parte de Chrome en sí, sino como un modelo de machine learning separado, con un propósito distinto, un perfil de protección de datos distinto y un alcance de consentimiento distinto

• Valores predeterminados invisibles y ausencia de opt-in

  • No hay cuadro de diálogo en el primer inicio ni casilla de verificación en la configuración; el usuario descubre el modelo solo después de notar que el disco se está llenando

• Quitar es más difícil que instalar

  • Agregar el archivo no requiere clics, pero para eliminarlo hay que descubrir que existe, entender qué significa y acceder a una ruta oculta del perfil de usuario para borrarlo
  • En Windows se indica que primero debe quitarse el atributo de solo lectura y, aun después de eliminarlo, si no se desactivan las funciones de IA de Chrome, puede volver a descargarse en el siguiente momento elegible

• Preposicionamiento de funciones no solicitadas

  • El modelo Nano se coloca de antemano en el disco para ejecutarse de inmediato cuando el usuario invoque una función de IA, pero ocupa 4 GB aunque el usuario nunca invoque esa función

• Difuminación del alcance por nombres internos genéricos

  • OptGuideOnDeviceModel es un término interno de Chrome para “OptimizationGuide on-device model storage”, y a un usuario común le resultaría difícil relacionarlo con “Gemini Nano LLM weights”
  • Un nombre más preciso sería algo más cercano a GeminiNanoLLM/weights.bin, pero se critica a Google por haber elegido una terminología interna

• Registro de recursos que el usuario no configuró

  • Incluso usuarios que nunca abrieron funciones de IA de Chrome reciben el modelo, y también pueden recibirlo usuarios que sí las abrieron una vez y luego concluyeron que no les interesaban
  • La existencia del archivo está separada del uso real de esa función

• Poca documentación y reinstalación automática

  • La documentación de Google sobre las funciones de IA de Chrome orientada a usuarios no comunica este costo en una proporción acorde con la descarga silenciosa de 4 GB
  • Si el usuario elimina el archivo, Chrome lo vuelve a crear, y la eliminación por parte del usuario no se trata como una instrucción que deba respetarse, sino como un estado temporal que debe corregirse

• Límite retroactivo del consentimiento futuro

  • Incluso si Google más adelante preguntara “¿quieres descargar un modelo de IA de 4 GB?”, eso no justificaría retroactivamente la instalación silenciosa que ya ocurrió en cientos de millones de dispositivos
  • Este comportamiento no proviene de una build de prueba, sino de una acción firmada y distribuida a través del canal normal de lanzamiento de Chrome stable

Separación entre la píldora “AI Mode” y el modelo on-device

• Cuando Chrome 147 se ejecuta en un perfil elegible, aparece una píldora de “AI Mode” a la derecha de la omnibox
• En el contexto de que Chrome tiene un LLM on-device y que ya se instaló en el disco un binario Gemini Nano de 4 GB, el usuario podría inferir que este “AI Mode” usa el modelo local y que la consulta permanece en el dispositivo
• Sin embargo, la píldora AI Mode de la omnibox de Chrome 147 es una superficie de Search Generative Experience basada en la nube, y la consulta introducida por el usuario se envía a los servidores de Google, donde la procesan modelos alojados por Google
• El modelo Nano on-device no se invoca en el flujo de UI de AI Mode, sino que se usa en funciones separadas como <textarea> de “Help-Me-Write”, sugerencias de IA para grupos de pestañas, smart paste y resúmenes de páginas
• El usuario asume el costo de 4 GB de espacio en disco y del ancho de banda de una descarga silenciosa, pero la experiencia de IA más visible no ofrece ventajas on-device y se enruta a los servidores de Google
• Esta estructura puede dar al usuario la impresión de algo parecido a “IA local”, pero en realidad es una forma de que Google coloque en el dispositivo del usuario un recurso que en el futuro podrá invocar desde otros subsistemas de Chrome sin ida y vuelta al servidor
• Según los criterios de patrones de diseño engañosos de las EDPB Guidelines 03/2022, se evalúa que “AI Mode” encaja en misleading information al no aclarar claramente dónde ocurre el procesamiento, en skipping al no ofrecer un momento de elección entre una superficie solo local y una basada en la nube, y en hindering porque AI Mode y la eliminación de la instalación on-device son controles separados que dificultan descubrirlo y desactivarlo

Cuestiones legales en el EEE y el Reino Unido

• El artículo 5(3) de la ePrivacy Directive exige un consentimiento previo, libre, específico, suficientemente explicado e inequívoco del usuario para almacenar información en su equipo terminal o acceder a información ya almacenada, salvo que sea estrictamente necesario para prestar un servicio de la sociedad de la información solicitado explícitamente por el usuario
• El archivo de pesos Gemini Nano de 4 GB es información almacenada en el equipo terminal del usuario, el usuario no consintió, Chrome funciona sin ese archivo y el usuario no solicitó un servicio que requiera estrictamente un LLM on-device de 4 GB, por lo que se considera una infracción del artículo 5(3)
• El artículo 5(1) y el artículo 25 del GDPR exigen, respectivamente, los principios de licitud, equidad y transparencia, y la protección de datos desde el diseño
• Si el hardware del usuario se perfila para determinar su elegibilidad para recibir el modelo, si el evento de instalación se registra en los servidores de Google y si las funciones on-device pueden procesar prompts del usuario, se debe informar al usuario en lenguaje claro qué está ocurriendo
• Colocar por adelantado un modelo de IA de 4 GB solo porque el usuario podría invocar funciones de IA en el futuro se considera una arquitectura contraria a la minimización por defecto
• El mismo análisis aplica bajo el UK GDPR y las Privacy and Electronic Communications Regulations 2003, y en la California Consumer Privacy Act la ausencia de un aviso en el momento de la recopilación sobre esta categoría específica de software preposicionado pone en duda la postura de aviso bajo la CCPA
• También se plantea la posibilidad de infracciones a leyes penales sobre uso indebido de computadoras en varios países

ESG y costos climáticos

• Método de cálculo

  • El caso de Chrome es una distribución que empuja un binario de 4 GB a cientos de millones de dispositivos, por lo que, a diferencia de la instalación del manifest JSON de 350 bytes de Claude Desktop, sus costos de ancho de banda y energía son medibles
  • La intensidad energética de la transmisión de datos por red se calcula con el valor medio de 0.06 kWh/GB dentro del rango de 0.04~0.10 kWh/GB de Pärssinen et al. 2018
  • Para el factor de emisiones de la red eléctrica se usa 0.25 kg CO2e/kWh, correspondiente al factor compuesto del suministro eléctrico de la UE-27 para reportes de 2024 de la European Environment Agency y la IEA

• Costo de un push de Nano por dispositivo

  • El ancho de banda se calcula como 4 GB
  • La energía se calcula como 4 × 0.06 = 0.24kWh per device per push
  • El CO2 se calcula como 0.24 × 0.25 = 0.06kg CO2e per device per push
  • Esta cifra solo incluye una descarga del modelo y no incluye redescargas tras borrarlo, actualizaciones posteriores del modelo ni la energía real de inferencia on-device

• Costo total según la escala del despliegue

  • Google no revela cuántos dispositivos reciben el push de Nano, y Chrome determina la elegibilidad con la performance_class de hardware calculada con base en CPU, GPU, RAM del sistema y VRAM disponible
  • Si lo reciben 100 millones de dispositivos, el total se calcula en 400 PB, 24 GWh y 6,000 toneladas de CO2e
  • Si lo reciben 500 millones de dispositivos, el total se calcula en 2 EB, 120 GWh y 30,000 toneladas de CO2e
  • Si lo reciben 1,000 millones de dispositivos, el total se calcula en 4 EB, 240 GWh y 60,000 toneladas de CO2e
  • 24 GWh equivalen al consumo anual de electricidad de unas 7,000 viviendas promedio del Reino Unido; 120 GWh, de unas 36,000; y 240 GWh, de unas 72,000
  • 6,000 toneladas de CO2e se comparan con las emisiones anuales de unos 1,300 automóviles de pasajeros promedio de la UE; 30,000 toneladas, con unos 6,500 automóviles o con alrededor de 8,000 pasajeros en vuelos ida y vuelta Londres-Sídney en clase económica; y 60,000 toneladas, con las emisiones anuales de unos 13,000 automóviles

• Costos adicionales no incluidos

  • No se incluye el costo de almacenamiento en disco de 4GB × N que sigue ocupándose de forma permanente en los dispositivos de los usuarios
  • El costo de carbono incorporado de los SSD se presenta en Tannu and Nair 2023 como aproximadamente 0.16 kg CO2e/GB NAND; así, 1,000 millones de dispositivos × 4 GB equivalen a asignar cerca de 640,000 toneladas de CO2e de SSD incorporado a un uso para el que el usuario no dio su consentimiento
  • Tampoco se incluye la energía de inferencia on-device cuando Nano realmente se invoca, y si la escala diaria de usuarios de Chrome es de 2,000 millones, incluso un costo pequeño por inferencia deja de ser pequeño
  • Si el usuario intenta borrar el archivo y ocurre una redescarga, cada vez se añaden 4GB × 0.06kWh × 0.25kg = 0.06kg CO2e por dispositivo
  • Gemini Nano no es un artefacto de una sola vez, sino un modelo con actualizaciones periódicas de pesos, por lo que el mismo cálculo se repite con cada actualización

• El problema del costo del ancho de banda en sí

  • El costo de red de una carga no deseada de 4 GB lo asumen los ISP, las operadoras móviles, los usuarios con conexiones medidas por consumo y la infraestructura de red
  • Según la referencia de Pärssinen, alrededor del 50% de la energía de entrega está en la red de acceso y el edge del CDN, alrededor del 30% en equipos del lado del usuario como routers, módems y NIC, y el resto en la red troncal
  • Para usuarios con planes móviles cobrados por consumo, especialmente en regiones donde el smartphone es el único medio de acceso a internet, una descarga no deseada de 4 GB puede acercarse al límite mensual de datos
  • Los planes de datos móviles 4G y 5G también se usan para equipos de escritorio en hogares sin acceso por fibra, cable o ADSL, por lo que no basta con el argumento de que “no se hace push a dispositivos móviles”

Lo que Google debería haber hecho

• Cuando Chrome intentara descargar por primera vez el modelo Nano, debería mostrar un cuadro de diálogo claro como: “Chrome quiere descargar un archivo de modelo de IA de 4 GB en tu dispositivo para la siguiente función. Permitir o decidir más tarde”
• Debería haberse diseñado con un enfoque pull, de modo que la descarga ocurriera cuando el usuario invocara por primera vez una función de IA, y que esa misma invocación de la función sirviera como evento de consentimiento
• En chrome://settings/, Chrome debería mostrar los archivos de modelos de IA descargados, su tamaño, qué funciones ejecuta cada modelo y un botón de “Remove and stop downloading” por modelo, y la eliminación debería persistir
• La descripción de Chrome en Microsoft Store, el instalador de Chrome y la página de descarga de Google Chrome deberían informar en lenguaje sencillo que, en hardware compatible, puede descargar archivos adicionales de modelo de tamaño considerable
• Si el usuario borra weights.bin, no debería volver a generarse; una aplicación no debería anular la fuerte preferencia del usuario sobre qué debe haber en su disco
• En el informe anual de ESG de Google, debería divulgarse por región el ancho de banda total y la huella de carbono de los modelos de funciones de IA empujados a dispositivos de usuarios, y contabilizarse como emisiones de Scope 3 Category 11 en el contexto de CSRD
• Los usuarios que ya recibieron el modelo sin consentimiento deberían ser informados en la siguiente ejecución de Chrome sobre lo que ocurrió, poder verificar la ubicación del archivo y realizar la revocación y eliminación con un solo clic

Punto central de la conclusión

• Tanto la instalación del manifest de Anthropic Claude Desktop como el push de Gemini Nano de Google Chrome fueron decisiones que trataron el dispositivo del usuario no como un aparato personal controlado por su dueño, sino como una superficie de despliegue para la hoja de ruta de producto del proveedor
• El caso de Anthropic se presenta como el despliegue de permisos previos para automatización del navegador en los dispositivos de unos 3 millones de usuarios de Claude Desktop, y el caso de Google como el despliegue de pesos de IA de 4 GB en los dispositivos de una estimación media de unos 500 millones de usuarios de Chrome
• Ambas empresas enfatizan la seguridad, la ética y la IA responsable, pero el comportamiento documentado de instalación silenciosa debilita el consentimiento básico que sostiene la legitimidad de esas posturas
• El hecho de que sean bytes de IA no los convierte en una excepción frente a las leyes que se aplican a otros bytes escritos en el dispositivo del usuario sin permiso, ni el hecho de que sean “pequeños” frente al disco del usuario hace que la huella de carbono acumulada deje de ser un daño climático real y medible
• Se plantea como criterio para juzgar la postura de Google sobre IA responsable y sostenibilidad si la próxima actualización de Chrome elimina la instalación sin consentimiento y la cambia por un opt-in explícito