Graves fallos de seguridad en DeepSeek: datos sensibles expuestos y vínculos con ByteDance generan alarma

Un informe reciente reveló serias vulnerabilidades en la aplicación DeepSeek, un chatbot de inteligencia artificial que ha ganado popularidad rápidamente en dispositivos iOS. Según un análisis realizado por la empresa de seguridad móvil NowSecure, la app transmite datos sensibles sin cifrar, lo que expone la información de los usuarios a posibles interceptaciones y manipulaciones. Además, los datos son enviados a servidores controlados por ByteDance, la compañía china propietaria de TikTok, lo que ha generado preocupaciones sobre la privacidad y la seguridad nacional.

De acuerdo con NowSecure, la aplicación desactiva globalmente las protecciones de seguridad recomendadas por Apple, conocidas como App Transport Security (ATS), que están diseñadas para garantizar que los datos transmitidos a través de aplicaciones iOS estén cifrados. Esta decisión, cuya razón no ha sido explicada por los desarrolladores de DeepSeek, permite que la información viaje sin protección, haciéndola vulnerable a cualquier persona que pueda monitorear el tráfico de red. Entre los datos enviados sin cifrar durante el registro inicial de la app se encuentran el ID de la organización, la versión del sistema operativo del usuario y el idioma configurado en el dispositivo.

Vínculos con ByteDance y almacenamiento en China

La información recopilada por DeepSeek se envía a través de la infraestructura de Volcengine, una plataforma en la nube desarrollada por ByteDance. Aunque las direcciones IP asociadas con la app están geolocalizadas en Estados Unidos, la política de privacidad de DeepSeek establece que los datos se almacenan en servidores ubicados en China. Según esta política, la compañía puede compartir información con autoridades gubernamentales, agencias de cumplimiento de la ley y otras entidades si lo considera necesario para cumplir con la legislación aplicable.

El informe de NowSecure también señala que, aunque parte de los datos transmitidos están cifrados mediante protocolos de seguridad como TLS (Transport Layer Security), una vez que llegan a los servidores de ByteDance, pueden ser descifrados y potencialmente cruzados con otros datos recopilados por la empresa. Esto podría permitir la identificación de usuarios específicos y el seguimiento de sus actividades dentro de la aplicación.

Uso de cifrado obsoleto y fallos críticos en la seguridad

Otro hallazgo preocupante es el uso de un esquema de cifrado simétrico conocido como 3DES (Triple DES), que fue declarado obsoleto por el Instituto Nacional de Estándares y Tecnología (NIST) en 2016 debido a su vulnerabilidad frente a ataques prácticos. Además, las claves de cifrado utilizadas por la app están codificadas directamente en el software y son idénticas para todos los usuarios de iOS, lo que representa un grave error de seguridad.

El cofundador de NowSecure, Andrew Hoog, calificó estas prácticas como inaceptables y afirmó que la app no cumple con los estándares básicos de protección de datos e identidad. “Hay prácticas de seguridad fundamentales que no se están respetando, ya sea intencionalmente o no. Al final, pone en riesgo sus datos e identidad y los de su empresa”, declaró Hoog.

Recomendaciones y advertencias de expertos

Ante estas revelaciones, NowSecure ha recomendado a las organizaciones eliminar la aplicación DeepSeek de sus entornos, tanto en dispositivos gestionados como en aquellos de uso personal (BYOD). Entre los riesgos señalados se encuentran la transmisión insegura de datos, el uso de claves de cifrado codificadas y el intercambio de información con terceros como ByteDance.

El informe también advierte que la versión de DeepSeek para Android presenta aún más problemas de seguridad que su contraparte en iOS, por lo que su uso también debería ser evitado.

Preocupaciones sobre la privacidad y la seguridad nacional

El alcance de las vulnerabilidades de DeepSeek ha generado inquietudes más allá del ámbito técnico. Según reportó NowSecure, legisladores en Estados Unidos han comenzado a presionar para que la aplicación sea prohibida en todos los dispositivos gubernamentales, citando riesgos para la seguridad nacional. La preocupación radica en la posibilidad de que el gobierno chino pueda acceder a datos sensibles de ciudadanos estadounidenses a través de la app, ya sea mediante un backdoor o a través de los servidores de ByteDance. Si se aprueba, DeepSeek podría ser prohibido dentro de 60 días.

El experto en seguridad de iOS Thomas Reed, de la firma Huntress, expresó su preocupación por la desactivación de ATS en la app, calificándola como una práctica innecesaria y peligrosa. “Permitir que una aplicación se comunique mediante protocolos inseguros como HTTP es una mala idea. Aunque Apple lo permite, no debería ser una práctica aceptada en la actualidad”, afirmó Reed. Además, señaló que, incluso si las comunicaciones estuvieran cifradas, no confiaría en enviar datos sensibles a servidores que podrían estar bajo el control del gobierno chino.

Por su parte, HD Moore, fundador y CEO de runZero, destacó que el uso de endpoints HTTP sin cifrar es inexcusable, ya que expone los datos de los usuarios a cualquier persona en la ruta de la red, no solo a los socios de la app.

Otros problemas de seguridad previamente reportados

Las preocupaciones sobre DeepSeek no son nuevas. Investigadores de Cisco y la Universidad de Pensilvania publicaron recientemente un informe que reveló que el modelo de razonamiento simulado de la app, conocido como DeepSeek R1, falló en un 100% de los casos al enfrentarse a 50 prompts maliciosos diseñados para generar contenido tóxico.

Además, la firma de seguridad Wiz descubrió una base de datos pública y completamente controlable perteneciente a DeepSeek, que contenía más de un millón de registros de historial de chats, datos de backend e información sensible, incluidos flujos de registro, secretos de API y detalles operativos. Según Wiz, la interfaz web abierta permitía el control total de la base de datos, así como la escalada de privilegios mediante parámetros comunes de URL y endpoints internos de API.

Un ascenso meteórico bajo escrutinio

DeepSeek irrumpió en el mercado de la inteligencia artificial hace poco más de dos semanas, sorprendiendo a la industria con un modelo de razonamiento simulado que rivaliza con el de OpenAI en pruebas de matemáticas y codificación. A pesar de haber gastado una fracción de lo que OpenAI invirtió en su desarrollo, la app alcanzó rápidamente el primer lugar en la categoría de aplicaciones gratuitas de la App Store de iPhone, superando incluso a ChatGPT.

Sin embargo, el éxito de DeepSeek se ha visto empañado por las crecientes preocupaciones sobre su seguridad y privacidad. Hasta el momento, ni los representantes de DeepSeek ni los de Apple han respondido a las solicitudes de comentarios sobre las vulnerabilidades detectadas.

La combinación de fallos técnicos, prácticas de seguridad deficientes y vínculos con ByteDance ha puesto a DeepSeek en el centro de un debate sobre la privacidad de los datos y la seguridad nacional, dejando a los usuarios y a las organizaciones con serias dudas sobre la confiabilidad de esta popular aplicación.