El mercado global de prevención de pérdida de datos (DLP) alcanzó los 1.840 millones de dólares en 2022 y se proyecta un crecimiento significativo hasta los 10.050 millones para 2030.
El mercado global de prevención de pérdida de datos (DLP) alcanzó los 1.840 millones de dólares en 2022 y se proyecta un crecimiento significativo hasta los 10.050 millones para 2030.
Seguridad

DeepSeek en la mira: graves vulnerabilidades y riesgos de seguridad

El chatbot de IA que superó a ChatGPT en descargas, expone datos sin protección y utiliza cifrados obsoletos, según un informe de NowSecure.

Photo of Redacción de ITSitio Redacción de ITSitio Send an email febrero 7, 2025
3 minutos de lectura

Un reciente informe de la firma de seguridad móvil NowSecure ha puesto en evidencia fallos críticos en DeepSeek, un chatbot de inteligencia artificial ampliamente utilizado en dispositivos iOS. La investigación revela que la aplicación transmite datos sensibles sin cifrar y los redirige a servidores operados por ByteDance, la empresa china propietaria de TikTok, lo que ha generado alarma sobre privacidad y seguridad nacional.

Principales vulnerabilidades detectadas

NowSecure descubrió que DeepSeek desactiva las protecciones de seguridad recomendadas por Apple, conocidas como App Transport Security (ATS), lo que permite que los datos viajen sin cifrado. Durante el registro inicial, la app transmite información sin protección, incluyendo el ID de organización, la versión del sistema operativo y el idioma del dispositivo.

Los datos recopilados se envían a través de la infraestructura de Volcengine, la plataforma en la nube de ByteDance. Aunque las IP asociadas a la app están en EE.UU., la política de privacidad de DeepSeek confirma que la información se almacena en China y puede ser compartida con autoridades gubernamentales si la empresa lo considera necesario.

Publicaciones relacionadas

Otra deficiencia detectada es el uso del algoritmo de cifrado 3DES (Triple DES), considerado obsoleto desde 2016 por el Instituto Nacional de Estándares y Tecnología (NIST) debido a su vulnerabilidad ante ataques. Además, las claves de cifrado están integradas en el código de la aplicación y son idénticas para todos los usuarios, lo que representa un grave riesgo de seguridad.

DeepSeek IA.
DeepSeek IA.

Advertencias de expertos y recomendaciones

Andrew Hoog, cofundador de NowSecure, calificó la seguridad de DeepSeek como inaceptable y advirtió que no cumple con los estándares básicos de protección de datos. “Estas fallas ponen en riesgo la información personal y empresarial de los usuarios”, señaló.

Ante estas vulnerabilidades, NowSecure recomienda desinstalar DeepSeek de dispositivos personales y corporativos. También se ha alertado que la versión de Android presenta aún más problemas de seguridad.

Preocupaciones sobre privacidad y seguridad nacional

Las vulnerabilidades de DeepSeek han generado preocupación entre legisladores de EE.UU., quienes consideran que el gobierno chino podría acceder a información sensible mediante los servidores de ByteDance. Por ello, se está evaluando prohibir su uso en dispositivos gubernamentales en un plazo de 60 días.

Thomas Reed, experto en seguridad de iOS de la firma Huntress, criticó la desactivación de ATS en la app, señalando que permite la comunicación a través de protocolos inseguros. Asimismo, HD Moore, CEO de runZero, enfatizó que el uso de endpoints HTTP sin cifrar es una práctica riesgosa e inaceptable.

Otras fallas de seguridad reportadas

Investigadores de Cisco y la Universidad de Pensilvania revelaron que el modelo de razonamiento simulado DeepSeek R1 falló en el 100% de los casos cuando se enfrentó a 50 prompts maliciosos diseñados para generar contenido dañino.

Además, la firma de seguridad Wiz encontró una base de datos pública de DeepSeek con más de un millón de registros de chats, datos de backend y credenciales sensibles. La interfaz web permitía el acceso total a la base de datos y la escalada de privilegios a través de parámetros de URL y endpoints internos de API.

Un éxito bajo sospecha

A pesar de haber sido lanzado hace apenas dos semanas, DeepSeek se posicionó rápidamente como una de las aplicaciones gratuitas más descargadas en la App Store, superando incluso a ChatGPT en popularidad. Su modelo de razonamiento simulado ha demostrado ser competitivo en pruebas de matemáticas y codificación, con una inversión significativamente menor a la de OpenAI.

Sin embargo, las fallas de seguridad y las preocupaciones sobre privacidad han empañado su éxito. Hasta el momento, ni DeepSeek ni Apple han respondido a las solicitudes de comentarios sobre las vulnerabilidades detectadas.

El debate sobre DeepSeek continúa, y tanto usuarios como empresas deben considerar los riesgos antes de utilizar esta plataforma.

Leer mas

Autor

Etiquetas
Photo of Redacción de ITSitio Redacción de ITSitio Send an email febrero 7, 2025
3 minutos de lectura
[mdx-adserve-bstreet region="MED"]
Photo of Redacción de ITSitio

Redacción de ITSitio

Publicaciones relacionadas

Los nuevos chips ASIC de las impresoras están diseñados con criptografía resistente a la cuántica y permiten el uso de verificación de firmas digitales para proteger la integridad del firmware contra ataques cuánticos.

HP presenta las primeras impresoras del mundo con protección contra ataques de computadoras cuánticas

Con la compra de Wiz, Google refuerza su compromiso con la ciberseguridad en la nube, una inversión estratégica para competir con los gigantes del sector.

Google adquiere Wiz por US$32.000 millones: la mayor compra en su historia

La seguridad en redes corporativas avanza más allá del modelo Zero Trust, incorporando tecnologías como SD-WAN con segmentación adaptable, autenticación sin contraseña y redes 5G privadas para una protección más robusta y eficiente.

Redes corporativas seguras: más allá del modelo Zero Trust

Los auriculares con cable pueden retransmitir sonido y permitir que hackers intercepten conversaciones.

¿Los auriculares con cable pueden ser blanco de ataque de los hackers?

[mdx-adserve-bstreet region="BOTTOM"]
Botón volver arriba