DeepSeek bajo la lupa: la IA china presenta graves fallas de seguridad

Un informe reciente reveló serias  vulnerabilidades graves en la aplicación DeepSeek, un chatbot de inteligencia artificial que ha ganado gran popularidad en dispositivos iOS.

Según un análisis de la firma de ciberseguridad NowSecure, la app transmite datos sensibles sin cifrar y los envía a servidores controlados por ByteDance, la empresa china dueña de TikTok, generando preocupaciones sobre la privacidad y la seguridad nacional.

Fallas en la seguridad y transmisión de datos sin cifrar

DeepSeek desactiva las protecciones de seguridad recomendadas por Apple, conocidas como App Transport Security (ATS), lo que permite que los datos viajen sin protección. NowSecure descubrió que, al registrarse en la app, la información del usuario —como el ID de la organización, la versión del sistema operativo y el idioma del dispositivo— se transmite sin cifrado, lo que la expone a posibles interceptaciones.

Además, aunque la app utiliza el protocolo de seguridad TLS (Transport Layer Security), una vez que los datos llegan a los servidores de ByteDance, pueden ser descifrados y combinados con otra información, permitiendo potencialmente el rastreo de usuarios específicos.

Vínculos con ByteDance y almacenamiento de datos en China

DeepSeek envía datos a través de la infraestructura de Volcengine, la plataforma en la nube de ByteDance.  Aunque las direcciones IP de la aplicación se localizan en EE.UU., su política de privacidad confirma que los datos se almacenan en servidores en China. Además, establece que la empresa puede compartir información con autoridades gubernamentales si lo considera necesario.

Esto ha despertado preocupaciones en legisladores estadounidenses, quienes han comenzado a presionar para que la app sea prohibida en dispositivos gubernamentales, argumentando que el gobierno chino podría acceder a datos sensibles de ciudadanos estadounidenses.

Cifrado obsoleto y errores críticos de seguridad

Otra de las fallas encontradas por NowSecure es el uso de 3DES (Triple DES), un esquema de cifrado considerado obsoleto desde 2016 por el Instituto Nacional de Estándares y Tecnología (NIST). Además, la app usa claves de cifrado fijas e idénticas para todos los usuarios, lo que representa un grave riesgo de seguridad.

Andrew Hoog, cofundador de NowSecure, calificó estas prácticas como inaceptables:

“Hay prácticas de seguridad fundamentales que no se están respetando. Esto pone en riesgo los datos e identidad de los usuarios y de sus empresas.”

Por su parte, Thomas Reed, experto en seguridad de iOS en la firma Huntress, criticó la desactivación de ATS, asegurando que es una decisión innecesaria y peligrosa.

DeepSeek en Android: aún más insegura

El informe también advierte que la versión de DeepSeek para Android presenta aún más fallas de seguridad que la de iOS, recomendando a los usuarios eliminar la app de sus dispositivos.

Además, se han detectado vulnerabilidades en la plataforma web de DeepSeek. La firma de seguridad Wiz encontró una base de datos pública expuesta con más de un millón de registros, incluyendo historial de chats, datos de backend y credenciales de API,  lo que permitía un acceso no autorizado a información sensible.

Éxito en descargas, pero bajo escrutinio

A pesar de las preocupaciones de seguridad, DeepSeek ha tenido un ascenso meteórico, logrando posicionarse como la aplicación gratuita más descargada en la App Store, superando incluso a ChatGPT.

Sin embargo, las crecientes alertas sobre privacidad han generado dudas sobre su confiabilidad. Hasta el momento, ni DeepSeek ni Apple han emitido declaraciones al respecto.

¿Deberían los usuarios eliminar DeepSeek?

Las graves fallas de seguridad, el cifrado obsoleto, la transmisión de datos sin protección y su vínculo con ByteDance han puesto a DeepSeek en el centro del debate sobre privacidad digital.

Ante este panorama,  los expertos recomiendan desinstalar la aplicación hasta que se implementen medidas claras de seguridad y transparencia en el manejo de los datos.