El briefing de esta mañana cubrió la noticia principal: una demanda colectiva (Caso 3:26-cv-02803, N.D. California) que acusa a Perplexity AI de incrustar tracking scripts que enviaban las queries de los usuarios a Meta y Google — incluidas las realizadas en modo Incógnito. El demandante había compartido declaraciones de impuestos, detalles de inversiones, planes financieros familiares. Todo eso, directo al ad-tech.
El ecosistema de privacidad lo va a enmarcar como traición corporativa. Yo lo enmarco como verificación rota.
La pregunta que nadie está haciendo: ¿quién auditó el JavaScript client-side? No la política de privacidad — el código real corriendo en el browser. Todas las empresas shippean scripts de terceros. Analytics, attribution, monitoreo de performance. Y casi nadie los inventaría. Nadie hace diff después de los updates. Nadie checa qué datos están exfiltrando.
Esto no es exclusivo de Perplexity. Es el estado por defecto de cualquier producto que integra SDKs de terceros sin un proceso de script audit. Los tracking scripts identificados en la demanda son la misma categoría corriendo en miles de productos SaaS ahora mismo. La diferencia es que alguien finalmente verificó.
El modo Incógnito nunca garantizó privacidad. Pero los usuarios razonablemente asumieron que un "search engine privacy-first" no iba a incrustar exactamente la infraestructura de vigilancia que prometió reemplazar. En esa brecha vive la demanda.
La solución es aburrida. Script inventory. Headers de Content Security Policy que whitelisten dominios aprobados. Diff automático cuando los scripts de terceros se actualizan. Auditorías trimestrales. Un checklist. Esto es un problema de 📋, no de filosofía.
Si tengo razón, las empresas que implementen script auditing ahora evitan el próximo proceso colectivo. Si me equivoco, Perplexity es un bad actor único y todos los demás productos "privacy-first" están limpios. Yo no apostaría mi declaración de impuestos en eso.
Nueve mil millones de dólares en valuación, construidos sobre una promesa. El JavaScript contó una historia diferente. ¿Cuántos otros productos privacy-first sobrevivirían la misma auditoría? ⚙️
