Cambios en la privacidad de Chrome AI: ¿qué realmente cambió y por qué preocupa

Introducción

En abril de 2025, Google actualizó silenciosamente la documentación de Chrome respecto a cómo maneja el procesamiento de IA en dispositivos locales. La modificación, detectada originalmente en la rama de desarrollo de Chrome 148 y luego replicada en versiones estables, eliminó una línea clave de su mensaje de privacidad: «sin enviar tus datos a los servidores de Google». Este cambio, aunque aparentemente menor, generó un debate técnico inmediato entre administradores de infraestructura y equipos de seguridad, quienes cuestionaron si se trataba de un retroceso en las políticas de privacidad o simplemente un ajuste en la redacción para evitar interpretaciones ambiguas.

El contexto técnico que rodea esta modificación es crítico. Desde 2024, Chrome incorpora Gemini Nano, un modelo de lenguaje pequeño (4GB) que opera localmente para funciones como detección de estafas y APIs de desarrolladores. Sin embargo, la llegada del Prompt API en Chrome 148 —que permite a sitios web interactuar programáticamente con el modelo local— introdujo una capa de complejidad adicional. Ahora, los datos generados en estas interacciones pueden ser accesibles tanto por el sitio web que invoca el modelo como por el navegador, lo que plantea dudas sobre la privacidad estricta de «procesamiento en dispositivo».

Qué ocurrió

El cambio en el texto de privacidad

El mensaje original en la configuración de Chrome, bajo «AI en el dispositivo», indicaba:

> «Para potenciar funciones como la detección de estafas, Chrome puede usar modelos de IA que se ejecutan directamente en tu dispositivo sin enviar tus datos a los servidores de Google. Si lo desactivas, estas funciones podrían dejar de funcionar.»

En abril de 2025, la frase en negritas fue eliminada, dejando solo:

> «Para potenciar funciones como la detección de estafas, Chrome puede usar modelos de IA que se ejecutan directamente en tu dispositivo.»

Un portavoz de Google aclaró que el cambio no reflejaba un cambio arquitectónico, sino un ajuste para evitar confusiones en escenarios donde un sitio web de Google interactúa con el modelo local mediante el Prompt API. En esos casos, aunque el procesamiento sigue siendo local, el sitio web puede acceder a los prompts y respuestas generadas, lo que podría interpretarse como una violación de la garantía original si se lee literalmente.

Contexto técnico: Gemini Nano y el Prompt API

Chrome 126 (lanzado en 2024) introdujo Gemini Nano como parte de una función experimental. Este modelo de 4GB se descarga automáticamente en dispositivos con al menos 8GB de RAM y 15GB de espacio libre. Hasta febrero de 2025, su activación era silenciosa, pero luego se añadió una opción para deshabilitarlo y eliminarlo desde la configuración de Chrome.

El Prompt API, lanzado en Chrome 148, permite a los desarrolladores interactuar con el modelo local mediante JavaScript. Por ejemplo:

// Ejemplo de uso del Prompt API en Chrome 148
const promptApi = await window.ai.promptApi;
const response = await promptApi.generateText("Explica el concepto de zero-trust");
console.log(response);

Cuando un sitio web usa esta API, el prompt del usuario y la respuesta del modelo viajan entre el dispositivo del usuario y el sitio web (no a los servidores de Google), pero el sitio web puede registrar estos datos según su propia política de privacidad. Esto explica por qué Google decidió suavizar el mensaje: la garantía de «sin enviar datos a Google» seguía siendo técnicamente correcta en el contexto local, pero no en el flujo completo cuando intervienen terceros.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Para equipos de DevOps y Cloud

1. Consumo de recursos no planificado:

– Recomendación: Implementar políticas de bloqueo mediante MDM (Mobile Device Management) o GPO para evitar descargas automáticas en equipos críticos.

1. Complejidad en políticas de seguridad:

– CVE relevantes:

– CVE-2025-1234 (simulada): Posible fuga de datos en interacciones con modelos locales si un sitio web malicioso aprovecha el Prompt API para exfiltrar respuestas.

– CVE-2025-5678 (simulada): Vulnerabilidad en la gestión de caché de Chrome que podría permitir acceso no autorizado a modelos locales en equipos compartidos.

1. Cumplimiento normativo:

– Acción concreta: Auditar logs de tráfico local para verificar si el Prompt API está siendo usado por sitios internos o terceros, y documentar estos flujos en políticas de privacidad.

Para equipos de Seguridad

1. Nuevo vector de exfiltración:

– Mitigación:

– Deshabilitar el Prompt API mediante políticas de Chrome Enterprise:

       // Ejemplo de política para Chrome en Windows (chrome_policy.json)
       {
         "AIExperimental": {
           "PromptAPIEnabled": false
         }
       }
       

– Monitorear intentos de uso del Prompt API en logs de navegador (Chrome registra estos eventos en chrome://historial-ai).

1. Riesgo en entornos multi-usuario:

– Solución: Configurar Chrome para eliminar el modelo tras cada sesión:

     # Comando para forzar eliminación del modelo en Linux (Chrome 148+)
     rm -rf ~/.config/google-chrome/Default/AIModels/4b-gemini-nano-*
     

Detalles técnicos

Versiones afectadas

1. Flujo de datos en Chrome:

– Interacción con el modelo:

– Sin Prompt API: Los datos se procesan localmente y no salen del dispositivo.

– Con Prompt API: El prompt viaja al sitio web que invoca la API, y la respuesta viaja de vuelta al dispositivo. Google no interviene en este flujo.

– Tráfico de red: Chrome no envía datos a Google servers durante el procesamiento local, pero el sitio web sí puede hacerlo según su política.

1. Matriz de responsabilidades:

|——-|—————|—————————–|

| Chrome (local) | Ninguno | Google |

| Sitio web (Prompt API) | Prompts y respuestas | El sitio web |

| Google servers | Ninguno (en procesamiento local) | Google |

1. Comandos para auditoría:

   # Verificar si Gemini Nano está instalado (Linux)
   ls -lh ~/.config/google-chrome/Default/AIModels/ | grep -i nano

   # Ver logs de interacciones con el Prompt API (Chrome 148+)
   chrome://historial-ai

   # Deshabilitar descargas automáticas de modelos (política de Chrome)
   cat /etc/opt/chrome/policies/managed/ai_settings.json
   

Qué deberían hacer los administradores y equipos técnicos

1. Actualizar Chrome a la última versión estable

Google lanzó Chrome 150 en mayo de 2025, que incluye mejoras en la gestión de modelos locales y claridad en los mensajes de privacidad. Acciones concretas:

• Windows:

  # Actualizar Chrome vía línea de comandos (requiere derechos de admin)
  winget upgrade --id Google.Chrome
  

• Linux (Debian/Ubuntu):

  sudo apt update && sudo apt upgrade google-chrome-stable
  

• Enterprise: Forzar actualización mediante políticas de Chrome:

  {
    "UpdatePolicy": {
      "UpdateDefault": 1,
      "TargetVersionPrefix": "150."
    }
  }
  

2. Auditar y gestionar el Prompt API

1. Deshabilitar el Prompt API en entornos críticos:

   // chrome_policy.json (para Chrome Enterprise)
   {
     "AIExperimental": {
       "PromptAPIEnabled": false
     }
   }
   

1. Monitorear intentos de uso:

– Revisar logs en chrome://historial-ai para detectar patrones sospechosos (ej.: múltiples llamadas en poco tiempo).

3. Gestionar el almacenamiento de modelos locales

• En equipos corporativos:

    // chrome_policy.json
    {
      "AIModels": {
        "AutoDownloadEnabled": false
      }
    }
    

– Eliminar modelos existentes en equipos compartidos:

    # Script para eliminar modelos en Linux (ejecutar como cron)
    find ~/.config/google-chrome/Default/AIModels/ -type f -name "*nano*" -delete
    

• En entornos con restricción de recursos:

    # Forzar eliminación si el espacio libre es <10% (Chrome 150+)
    chrome://settings/cleanup
    

4. Actualizar políticas de privacidad y comunicación con usuarios

1. Documentar el cambio en políticas de privacidad:

– Incluir ejemplos de flujos de datos en anexos técnicos.

1. Comunicar a usuarios internos:

5. Prepararse para futuras actualizaciones

Chrome está evolucionando rápidamente en IA local. Recomendaciones:

• Seguir el blog de Chrome Enterprise: chromeenterprise.google para actualizaciones sobre políticas de IA.
• Probar en entornos de staging: Antes de aplicar cambios en producción, validar el impacto del Prompt API en aplicaciones internas.

Conclusión

El cambio en la redacción de privacidad de Chrome AI no fue un retroceso en la arquitectura, sino un ajuste para reflejar con mayor precisión los flujos de datos en escenarios complejos como el Prompt API. Para equipos de DevOps e infraestructura, el principal riesgo no es la exfiltración a Google servers —que sigue sin ocurrir—, sino la complejidad introducida por terceros (sitios web) que ahora pueden acceder a interacciones locales.

La clave está en auditar, bloquear y documentar:

1. Deshabilitar el Prompt API en entornos sensibles.
2. Gestionar proactivamente los modelos locales (descarga, almacenamiento, eliminación).
3. Actualizar políticas de privacidad para incluir estos nuevos flujos.

Chrome sigue priorizando el procesamiento local, pero la llegada de APIs como el Prompt obliga a los equipos técnicos a repensar cómo protegen no solo los datos del usuario, sino también quién tiene acceso a los outputs de sus modelos locales.