Desde que la empresa china DeepSeek irrumpió en la escena de la inteligencia artificial, se convirtió en objeto de cuestionamientos, no solo por la facilidad de su desarrollo en comparación a la competencia, sino también por su origen. Recientemente, fue acusada de enviar datos de sus usuarios sin cifrar a servidores controlados por ByteDance, la compañía matriz de TikTok. Esta acusación fue realizada por la firma de seguridad móvil NowSecure, que advirtió sobre posibles riesgos para la privacidad y seguridad de los datos de los usuarios de la aplicación.
NowSecure informó que la aplicación de DeepSeek desactiva globalmente la App Transport Security (ATS), una medida de seguridad recomendada por Apple para cifrar la transmisión de datos en dispositivos iOS. Esta omisión permitiría que información sensible, como la versión del sistema operativo del usuario y su idioma configurado, sea enviada sin cifrar, quedando expuesta a potenciales interceptaciones.
Además, la empresa de seguridad detectó que los datos enviados por la aplicación llegan a servidores de ByteDance. Aunque parte de esta información viaja cifrada mediante la seguridad de la capa de transporte (TLS), una vez que llega a los servidores, podría ser comparada con otros datos recopilados para identificar a usuarios específicos y rastrear sus consultas e interacciones.
Otro aspecto preocupante señalado en la auditoría de NowSecure es que DeepSeek emplea el algoritmo de cifrado 3DES (Triple DES), el cual fue declarado obsoleto en 2016 por el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST). La principal razón de su descarte fueron las vulnerabilidades que permiten ataques de descifrado.
Asimismo, las claves utilizadas para este cifrado están codificadas dentro de la aplicación y son idénticas para todos los usuarios, lo que representa un riesgo significativo. Esto significa que cualquier actor malintencionado con acceso a la aplicación podría descifrar la información con relativa facilidad.
Preocupaciones sobre almacenamiento de datos en China
La política de privacidad de DeepSeek establece que la empresa almacena los datos recopilados en servidores ubicados en China. También menciona que la compañía se reserva el derecho de compartir información con agencias gubernamentales si lo considera necesario, lo que generó inquietud entre expertos en ciberseguridad y legisladores estadounidenses.
En efecto, legisladores en Estados Unidos comenzaron a presionar para prohibir la aplicación DeepSeek en dispositivos gubernamentales, argumentando riesgos para la seguridad nacional. La iniciativa es similar a las restricciones impuestas a TikTok en años anteriores, debido a preocupaciones sobre el acceso del gobierno chino a datos de ciudadanos estadounidenses.
Hasta el momento, DeepSeek no emitió comentarios sobre las acusaciones. Por su parte, NowSecure recomendó a los usuarios eliminar la aplicación de sus dispositivos y alertó que la versión para Android presenta aún más vulnerabilidades que su contraparte en iOS. (NotiPress)
