Instalación silenciosa de Chrome de un modelo Gemini Nano de 4 GB: un investigador revela una posible violación de las leyes de privacidad de la UE sin consentimiento

Google Chrome del 20 al 29 de abril de 2026, sin el consentimiento explícito del usuario, instaló en silencio en los dispositivos un modelo de IA Gemini Nano de 4GB. La evidencia forense publicada por el investigador de privacidad Alexander Hanff en Hacker News muestra que el archivo se llama weights.bin, está ubicado en el directorio OptGuideOnDeviceModel y contiene los pesos del propio LLM local de Google, Gemini Nano. El caso ya subió al 1,234 puesto en la página principal de tendencias de HN y ha suscitado preocupaciones sobre violaciones de la directiva europea GDPR/ePrivacy.

El panorama completo: modelo de 4GB + “lo borras y se vuelve a descargar automáticamente”

Los hechos clave revelados por Hanff:

Chrome en sus actualizaciones automáticas, sin haber mostrado nunca al usuario una notificación u opción de “descargar un modelo de IA de 4GB”

El archivo del modelo Gemini Nano en el dispositivo (weights.bin) ocupa aproximadamente 4GB y utiliza claramente espacio de almacenamiento

No existe un interruptor de “opt-in” (preguntar antes de descargar) ni de “opt-out” (apagar con un solo clic); solo las herramientas de TI de la empresa pueden gestionarlo

Después de que el usuario borra manualmente el modelo, la próxima actualización de Chrome lo descarga automáticamente de nuevo

Con más de 1,000 millones de usuarios globales, el alcance de este despliegue silencioso es enorme

Gemini Nano es un LLM pequeño diseñado por Google para la “ejecución en el dispositivo”; sus usos incluyen la ayuda de escritura de Chrome, resúmenes de texto, detección de estafas y phishing, y funciones de autocompletado y sugerencias asistidas por IA. Para Google, el beneficio de empujar el modelo al dispositivo es reducir costos en la nube y acelerar la respuesta; para los usuarios, si no lo saben, es que 4GB de espacio en disco se ocupan de forma silenciosa.

Dudas regulatorias: posible violación del artículo 5(3) de la directiva EU ePrivacy

En su análisis, Hanff señala con claridad los artículos que podrían vulnerar la normativa de privacidad de la UE: el artículo 5(3) de la directiva EU ePrivacy establece que “almacenar información en el equipo terminal del usuario” exige obtener un “consentimiento previo, libre, específico, informado y no ambiguo”. La instalación silenciosa de 4GB en Chrome podría no cumplir con cada uno de los siguientes aspectos:

“Previo” — el usuario no fue informado antes de que ocurriera la descarga

“Libre” — Chrome no ofrece una opción para rechazar

“Específico” — no se declara explícitamente el propósito del modelo

“Informado” — el usuario no sabe qué está ocurriendo

“No ambiguo” — no existe ninguna acción de consentimiento

Si la autoridad de protección de datos de la UE (DPA) abre un caso formal, Google podría enfrentar multas sustanciales: hasta el 4% de los ingresos anuales globales según el GDPR. Este caso es la controversia de “despliegue de IA en el dispositivo sin consentimiento” de mayor escala en 2026 y podría convertirse en un precedente concreto para la regulación de la IA por parte de la UE contra gigantes tecnológicos de Estados Unidos.

Impacto ambiental: emisiones de carbono por la descarga sincronizada en nivel de 100 millones de dispositivos

Hanff también calculó el costo climático a escala: con la base de 1,000 millones de usuarios globales de Chrome, las emisiones equivalentes de carbono estimadas por una sola entrega del modelo oscilan entre 6,000 y 60,000 toneladas de CO2 (dependiendo de cuántos dispositivos realmente reciban la entrega). La cifra equivale a las emisiones de decenas de miles de autos por un año, o a la emisión diaria de una pequeña planta generadora de energía.

Esto plantea el problema del “costo marginal aparentemente cero, pero a escala agregada impactante” al impulsar IA por parte de los gigantes tecnológicos: Google empuja un modelo una vez como una simple actualización automática, pero 1,000 millones de dispositivos descargan simultáneamente 4GB, generando tráfico de red, costos de almacenamiento, emisiones de carbono, y al final todo se reparte entre usuarios e infraestructura en todo el mundo.

Otro elemento engañoso: la “AI Mode” de Chrome no usa la Gemini Nano local

Además de este revelado, hay un detalle digno de mención: un botón “AI Mode” claramente visible en la barra de herramientas de Chrome, pero en realidad “no” usa la Gemini Nano local. Es la puerta de entrada a la experiencia de “búsqueda generativa” (Search Generative Experience, SGE) y las consultas siguen enviándose a los servidores de Google.

Los usuarios ven que el navegador tiene “AI Mode” y también ven en el dispositivo un archivo de modelo de 4GB; es razonable inferir “AI Mode = modelo local”. Pero en realidad:

Botón de AI Mode: API de Gemini en la nube; las consultas se suben a Google

Modelo de 4GB weights.bin: Gemini Nano local, usado para funciones integradas en Chrome como ayuda de escritura, resúmenes, detección de estafas, etc.

Ambos no son el mismo sistema y Google no explicó suficientemente a los usuarios. Para los usuarios preocupados por la privacidad, podría llevarlos a creer que usar AI Mode es “procesamiento local”, mientras que en realidad aún se envían sus datos a la nube. Este problema de diseño de UI es otra crítica importante planteada en el artículo de Hanff, además de la “instalación silenciosa”.

Efecto práctico para usuarios de Taiwán: verifiquen el directorio de instalación de su Chrome (Windows: C:\Users\…\AppData\Local\Google\Chrome, macOS: ~/Library/Application Support/Google/Chrome/) y comprueben si existe la carpeta OptGuideOnDeviceModel y el archivo weights.bin. Si quieren impedir futuras descargas automáticas, actualmente no hay opciones públicas para consumidores; solo pueden desactivarlo mediante las herramientas de administración de Chrome Enterprise.

Este artículo Chrome instala en silencio el modelo Gemini Nano de 4GB: el investigador revela que podría violar leyes de privacidad de la UE apareció por primera vez en 鏈新聞 ABMedia.