Un estudio de investigadores de IMDEA Networks Institute sostiene que ChatGPT, Claude, Grok y Perplexity incorporan mecanismos de rastreo de terceros vinculados a compañías como Meta, Google, TikTok, Datadog, Intercom o Singular, con capacidad para transmitir información asociada a las conversaciones de los usuarios, sus identificadores y determinados metadatos sensibles.
La investigación, titulada Your AI Assistant Is Leaking Your Conversations y difundida dentro del proyecto LeakyLM, advierte de que las interfaces conversacionales de inteligencia artificial están reproduciendo parte de la infraestructura técnica del ecosistema web tradicional, basada en analítica, publicidad digital, cookies, identificadores persistentes y servicios de medición.
El informe identifica cuatro plataformas analizadas, más de trece rastreadores de terceros y ningún caso en el que ese flujo concreto de información aparezca claramente explicado al usuario. Según los investigadores, el problema no se limita a la existencia de cookies o herramientas de medición, sino a la naturaleza de los datos que pueden circular en estos servicios: títulos de conversaciones, URL estables de chats, identificadores de usuario, direcciones de correo o hashes de correo electrónico, metadatos de navegación y, en algunos casos, información que puede permitir acceder al contenido de una conversación compartida.
La investigación subraya que la conversación con un asistente de IA no se parece, desde el punto de vista de la privacidad, a una navegación web ordinaria. Los usuarios tienden a formular consultas médicas, laborales, legales, emocionales o profesionales bajo una percepción de diálogo privado, pero el estudio sostiene que esos intercambios pueden quedar conectados con infraestructuras publicitarias y de analítica diseñadas para perfilar actividad, medir comportamiento y vincular sesiones con identidades persistentes. El propio informe recuerda que Eurostat situó en el 32,7% la proporción de población de la Unión Europea de 16 a 74 años que utilizó IA generativa en 2025, con usos personales, laborales y educativos.
Uno de los hallazgos más relevantes afecta a los enlaces permanentes de las conversaciones. El estudio explica que algunas plataformas generan URL estables para acceder a chats concretos y que, cuando esas URL se envían a terceros junto con cookies u otros identificadores, el riesgo ya no es solo la filtración de metadatos. Si el enlace tiene controles de acceso débiles o está disponible públicamente, transmitir esa URL puede equivaler, en la práctica, a facilitar el acceso a la conversación. Los autores señalan especialmente los casos de Grok y Perplexity, donde detectaron enlaces con acceso débil o público en determinadas condiciones.
Narseo Vallina Rodríguez, Research Associate Professor en IMDEA Networks Institute, resume el riesgo en el informe al señalar que, en algunos casos, “tener simplemente un enlace a una conversación puede conceder acceso a su contenido”. Guillermo Suárez-Tangil, coautor del estudio y también Research Associate Professor en IMDEA Networks Institute, añade que Grok y Perplexity enviaban URL de conversación con controles de acceso débiles a rastreadores de terceros como Meta Pixel, y que Grok llegó a exponer texto literal de mensajes mediante metadatos Open Graph recogidos por TikTok.
El análisis por plataformas muestra diferencias relevantes. En Perplexity, los investigadores observaron transmisión de URL de conversación y cookies a Meta hasta el 3 de abril de 2026, fecha en la que, según el informe, Perplexity retiró la integración con Meta Pixel, posiblemente tras una demanda colectiva presentada en Estados Unidos. El estudio también detectó flujos hacia Datadog con dirección de correo, URL de conversación y metadatos, así como hashes de correo y datos del sistema hacia Singular.
Claude, de Anthropic, aparece en el estudio asociado a varios tipos de transmisión. El informe describe la presencia de Meta Pixel y Datadog cuando se aceptan cookies no esenciales, pero también señala una integración con Intercom que, en sesiones autenticadas, enviaría la URL de la página actual de forma periódica, junto con datos suficientes para identificar la conversación visitada. Además, los investigadores sostienen que determinadas configuraciones de Segment podrían reenviar eventos desde la infraestructura de Anthropic a once plataformas, entre ellas Meta, LinkedIn, TikTok, Reddit, Google, Amplitude, Iterable, HubSpot, Pinterest, Podscribe y DCM Floodlight, en condiciones vinculadas a la aceptación de cookies no esenciales.
En el caso de ChatGPT, el estudio afirma que Google Analytics recibe la URL de la conversación y el título de la página, que puede coincidir con el tema del chat, en sesiones gratuitas con usuario autenticado. Los investigadores indican que este flujo se activa al cargar la página y que se produce aunque el usuario acepte o rechace cookies. También señalan que la política de seguridad de contenidos de ChatGPT incluye dominios de terceros asociados a publicidad y analítica, aunque aclaran que no observaron en sus experimentos que esos otros dominios se activaran, algo que podría depender del tipo de cuenta, la geografía, pruebas A/B u otros mecanismos de activación.
Grok, de xAI, concentra algunos de los riesgos más explícitos descritos en el estudio. Los autores sostienen que la plataforma envía URL de conversación, títulos de página y metadatos a Google Analytics y DoubleClick, y que otros flujos hacia TikTok, Meta Pixel y Google Tag Manager del lado del servidor se activan tras aceptar cookies no esenciales. El informe añade que, cuando se comparte una conversación de Grok, la plataforma genera metadatos Open Graph y Twitter Card que pueden incluir imágenes de captura de la conversación y texto literal de mensajes, accesibles mediante URL públicas en determinados casos.
Los autores insisten en que sus hallazgos son preliminares y en que no tienen pruebas de que los rastreadores hayan leído efectivamente el contenido de conversaciones. La alerta se centra en la existencia de los flujos técnicos y en la capacidad potencial de acceso cuando los enlaces transmitidos son públicos o tienen controles de acceso insuficientes. El informe recalca que no describe vulnerabilidades explotables por terceros externos, sino prácticas de analítica y publicidad que solo los operadores de las plataformas pueden corregir o limitar desde su propia infraestructura.
