Dos demandas colectivas presentadas en mayo de 2026 han revelado que OpenAI incorporo un Facebook Pixel en ChatGPT que transmitia el contenido de las consultas de los usuarios a Meta en tiempo real, sin el consentimiento de los usuarios y sin ninguna divulgacion en la politica de privacidad de OpenAI. Estas revelaciones representan uno de los casos mas directos documentados de filtracion de datos privados de usuarios de un servicio de IA hacia una plataforma publicitaria, y han reabierto el debate sobre si las herramientas de IA ampliamente utilizadas pueden considerarse privadas.
Lo que afirman las demandas
Segun los documentos judiciales, OpenAI integro el pixel de seguimiento de Meta directamente en ChatGPT.com. El Facebook Pixel es un fragmento de codigo JavaScript originalmente disenado para ayudar a los sitios web a medir la efectividad de sus campanas publicitarias en Facebook. Cuando se incorpora a una pagina, se activa automaticamente cada vez que un usuario la visita, enviando datos sobre esa visita a los servidores de Meta.
El detalle critico descubierto por los equipos legales de los demandantes: el pixel estaba configurado para transmitir los titulos de las pestanas del navegador. En ChatGPT, esos titulos de pestanas se generan dinamicamente como resumenes de las conversaciones en curso. Un usuario que preguntara a ChatGPT sobre una condicion medica, situacion financiera, opinion politica o problema personal descubriria que una version condensada de esa consulta se estaba enviando a Meta, la empresa matriz de Facebook, Instagram y WhatsApp.
- Transmision de titulos de pestanas: ChatGPT genera automaticamente titulos de pestanas que resumen los temas de conversacion, que el pixel enviaba a Meta en tiempo real.
- Vinculacion mediante la cookie c_user: El pixel tambien transmitia la cookie c_user, un identificador persistente de Facebook que vincula los datos a una cuenta especifica de Facebook, no solo a un navegador anonimo.
- Sin opcion de exclusion: Los usuarios no tenian forma de desactivar este seguimiento, y no se divulgaba en la documentacion de privacidad de OpenAI.
- Transmision en tiempo real: Los datos se enviaban a medida que se desarrollaban las conversaciones, no en lotes diferidos ni en agregados anonimizados.
Por que la cookie c_user hace la situacion especialmente grave
La mayoria de los pixeles de seguimiento recopilan datos que son, al menos en teoria, seudonimos, vinculados a un dispositivo o huella de navegador en lugar de a una identidad real verificada. El Facebook Pixel en ChatGPT fue mas alla. Al capturar la cookie c_user, que Facebook establece cuando un usuario inicia sesion y que persiste en el navegador, Meta pudo conectar directamente los resumenes de consultas de ChatGPT con perfiles de Facebook identificados por nombre.
Esto significa que cualquier usuario de ChatGPT que simultaneamente estuviera conectado a Facebook en el mismo navegador tenia sus temas de consultas vinculados a su identidad real de Facebook. Los datos no permanecian abstractos ni anonimizados: eran personalmente identificables en la infraestructura publicitaria de Meta, donde teoricamente podian influir en la orientacion de anuncios y la construccion de perfiles.
Analistas legales citados en los documentos senalan que esta combinacion, titulos de pestanas ricos en contenido mas una cookie de identidad persistente, va mucho mas alla de lo que la mayoria de los pixeles de terceros estan disenados o autorizados a recopilar bajo la Ley de Privacidad del Consumidor de California y el Reglamento General de Proteccion de Datos de la UE.
La respuesta de OpenAI
OpenAI no confirmo ni desmintio publicamente las afirmaciones tecnicas especificas de las demandas en el momento de redactar este articulo. La empresa ha declarado anteriormente que utiliza servicios de terceros para analitica y monitoreo de rendimiento, una practica estandar en la industria tecnologica. Si la recopilacion de datos por el pixel fue deliberada, accidental o el resultado de una integracion de terceros mal configurada aun no se ha establecido en los tribunales.
Lo que esta documentado en los archivos: el pixel estaba presente, activo y transmitiendo datos durante el periodo cubierto por las demandas. Los demandantes buscan la certificacion de demanda colectiva y danos estatutarios que, bajo algunas leyes de privacidad del consumidor estatales aplicables, pueden alcanzar cientos de dolares por violacion, una cifra que, multiplicada por millones de usuarios de ChatGPT, resultaria en una responsabilidad medida en miles de millones.
Por que las VPN no protegen contra este tipo de seguimiento
El caso del pixel de ChatGPT ilustra una limitacion de las VPN que los defensores de la privacidad han discutido durante mucho tiempo pero que raramente llega al gran publico. Una VPN enruta su trafico de internet a traves de un tunel cifrado y enmascara su direccion IP real de los sitios web que visita. Lo que no puede hacer es interceptar el codigo JavaScript que se ejecuta dentro de su navegador.
Cuando usa ChatGPT a traves de una VPN, su direccion IP esta oculta de los servidores de OpenAI. Pero el Facebook Pixel no se preocupa por su direccion IP. Lee las cookies del navegador, que se almacenan localmente en su dispositivo, y activa solicitudes HTTP desde dentro de la sesion del navegador. Esas solicitudes van a los servidores de Meta y llevan valores de cookies que la VPN nunca tiene la oportunidad de interceptar o bloquear.
La implicacion practica: un usuario que accede a ChatGPT a traves de una VPN mientras esta conectado a Facebook en el mismo navegador no esta mas protegido de esta filtracion especifica de datos que un usuario sin ninguna VPN. El seguimiento opera completamente en la capa del navegador, por debajo del nivel en que se aplica el cifrado VPN.
Lo que realmente protege contra el seguimiento en el navegador
La proteccion efectiva contra el seguimiento tipo Facebook Pixel requiere medidas aplicadas a nivel del navegador en lugar del nivel de red. Estas incluyen:
- Aislamiento del navegador: Usar perfiles de navegador separados o navegadores dedicados para herramientas de IA y plataformas de redes sociales evita que las cookies se compartan entre contextos.
- Facebook Container (Firefox): La extension de Mozilla disenada especificamente para evitar que las cookies de Facebook se filtren a sitios no pertenecientes a Facebook, exactamente el tipo de seguimiento entre sitios que describen las demandas.
- Bloqueadores de scripts: Extensiones como uBlock Origin o Privacy Badger pueden bloquear scripts de seguimiento de terceros, incluido el Facebook Pixel, antes de que se ejecuten.
- Modo de navegacion privada: Limita la persistencia de cookies pero no bloquea la ejecucion del pixel durante una sesion activa.
El caso ChatGPT subraya por que los enfoques de privacidad en capas son importantes. Una VPN es una herramienta esencial para proteger los metadatos a nivel de red, ocultar su IP real de los sitios visitados y cifrar el trafico de su proveedor de servicios de internet. Pero no esta disenada para, ni puede, evitar que JavaScript que se ejecuta en su navegador lea sus cookies y las transmita a terceros.
El patron mas amplio
Las revelaciones sobre el pixel de ChatGPT son parte de un patron mas amplio de servicios de IA que han recopilado mas datos de los que los usuarios reconocian o habian consentido. A principios de 2026, un acuerdo de demanda colectiva contra Forbes establecio que el pixel de seguimiento de LinkedIn constituia escucha ilegal bajo la ley de California. En ese caso tambien, el seguimiento estaba incorporado, era automatico y afecto a millones de usuarios que no tenian idea de que su comportamiento de navegacion estaba siendo retransmitido a un tercero.
Lo que distingue el caso ChatGPT es la sensibilidad de los datos subyacentes. Un pixel de LinkedIn en un sitio de noticias rastrea que articulos lee. Un Facebook Pixel en ChatGPT rastrea lo que piensa, pregunta, investiga y confia, temas que los usuarios abrumadoramente creian privados porque estaban teniendo una conversacion directa con una IA, no navegando por una pagina web publica.
