Un fallo de seguridad crítico en DeepSeek expone datos de millones de usuarios
Investigadores descubrieron un fallo crítico en DeepSeek que expuso datos de millones. Descubre cómo ocurrió y su impacto en la IA.
La inteligencia artificial continúa evolucionando a pasos agigantados, pero no está exenta de desafíos. DeepSeek, un chatbot de inteligencia artificial desarrollado en China que se caracteriza por ser de código abierto y competir con gigantes como OpenAI y Google, está en el centro de un escándalo tras la revelación de un grave fallo de seguridad que ha puesto en peligro los datos de millones de usuarios en todo el mundo.
Investigadores de la firma Wiz, especializada en seguridad en la nube, identificaron una base de datos pública de DeepSeek accesible sin restricciones de autenticación. Esta base de datos, alojada en un sistema de gestión llamado ClickHouse, contenía información sensible como claves API, mensajes de chat en texto plano, registros internos del sistema y solicitudes de usuarios. Tal exposición representa un riesgo significativo tanto para los usuarios como para la empresa, al abrir puertas para ciberataques y uso indebido de datos personales.
Las vulnerabilidades de DeepSeek generan preocupación
El informe de Wiz detalla cómo el acceso a la base de datos fue sorprendentemente sencillo. Con un escaneo superficial, los investigadores encontraron la ruta de acceso a través de la interfaz HTTP de ClickHouse, que permitía ejecutar consultas SQL directamente desde un navegador. Este nivel de accesibilidad es alarmante en cualquier contexto, pero resulta aún más preocupante cuando se trata de un chatbot que maneja información confidencial.
Según los especialistas, la base de datos contenía mensajes de chat, muchos de ellos en idioma chino, aunque no se descarta que también hubiera mensajes en otros idiomas. Además, se encontraron rutas del sistema interno y claves API utilizadas para autenticar solicitudes. Un atacante podría haber empleado este tipo de información para manipular los sistemas internos de DeepSeek, acceder a datos aún más críticos o comprometer la infraestructura completa de la empresa.
En respuesta, los investigadores intentaron alertar a los responsables de DeepSeek a través de diferentes medios, como correos electrónicos y perfiles de LinkedIn relacionados con la compañía. Aunque inicialmente no obtuvieron respuesta, bloquearon la base de datos pública unos 30 minutos después de estos intentos, dejando inaccesible su contenido para usuarios externos.
Impacto en la confianza hacia plataformas de IA generativa
El fallo de seguridad descubierto plantea preguntas serias sobre la madurez y la preparación de DeepSeek para manejar información sensible. Según Ami Luttwak, CTO de Wiz, este tipo de errores son inaceptables en sistemas que buscan ganar la confianza de usuarios y empresas en todo el mundo. Aunque los errores de seguridad no son infrecuentes en el sector tecnológico, el hecho de que esta brecha fuera tan fácil de encontrar y de explotar subraya una falta de medidas básicas de seguridad.
Además, el incidente ha reabierto el debate sobre los riesgos asociados al uso de tecnologías de IA desarrolladas en China. Tanto Irlanda como Italia, entre otros países de la Unión Europea, han solicitado información sobre cómo DeepSeek maneja los datos de los usuarios y si están almacenados en servidores chinos. Este episodio recuerda casos previos, como el bloqueo temporal de ChatGPT en Italia en 2023 debido a preocupaciones similares.
El dilema del código abierto
Al ser de código abierto, DeepSeek ofrece ciertas ventajas como la accesibilidad para desarrolladores y startups. Sin embargo, esta característica también aumenta el riesgo de que herramientas malintencionadas aprovechen vulnerabilidades en su infraestructura, como ha ocurrido en este caso. Los expertos en seguridad advierten que deben someter a auditorías exhaustivas y monitorear continuamente modelos como DeepSeek para evitar brechas de este tipo.
A medida que la influencia de DeepSeek sigue creciendo, también lo hacen las preocupaciones sobre la privacidad y la ciberseguridad. Los términos de servicio del chatbot revelan que la compañía recopila y conserva datos de los usuarios por un tiempo indefinido, un hecho que podría suscitar aún más críticas y escrutinio internacional.
Este incidente destaca la importancia de establecer estándares globales más estrictos para garantizar la seguridad y la privacidad de los datos de los usuarios. En un mundo cada vez más dependiente de estas tecnologías, los desarrolladores deben priorizar la confianza y la transparencia como pilares fundamentales de su desarrollo.
