Un informe reciente reveló serias vulnerabilidades en la aplicación DeepSeek, un chatbot de inteligencia artificial que ha ganado popularidad rápidamente en dispositivos iOS. Según un análisis realizado por la empresa de seguridad móvil NowSecure, la app transmite datos sensibles sin cifrar, lo que expone la información de los usuarios a posibles interceptaciones y manipulaciones.
Además, los datos son enviados a servidores controlados por ByteDance, la compañía china propietaria de TikTok, lo que ha generado preocupaciones sobre la privacidad y la seguridad nacional.
De acuerdo con NowSecure, la aplicación desactiva globalmente las protecciones de seguridad recomendadas por Apple, conocidas como App Transport Security (ATS), que están diseñadas para garantizar que los datos transmitidos a través de aplicaciones iOS estén cifrados.
Esta decisión, cuya razón no ha sido explicada por los desarrolladores de DeepSeek, permite que la información viaje sin protección, haciéndola vulnerable a cualquier persona que pueda monitorear el tráfico de red. Entre los datos enviados sin cifrar durante el registro inicial de la app se encuentran el ID de la organización, la versión del sistema operativo del usuario y el idioma configurado en el dispositivo.
La información recopilada por DeepSeek se envía a través de la infraestructura de Volcengine, una plataforma en la nube desarrollada por ByteDance. Aunque las direcciones IP asociadas con la app están geolocalizadas en Estados Unidos, la política de privacidad de DeepSeek establece que los datos se almacenan en servidores ubicados en China.
Según esta política, la compañía puede compartir información con autoridades gubernamentales, agencias de cumplimiento de la ley y otras entidades si lo considera necesario para cumplir con la legislación aplicable.
El informe de NowSecure también señala que, aunque parte de los datos transmitidos están cifrados mediante protocolos de seguridad como TLS (Transport Layer Security), una vez que llegan a los servidores de ByteDance, pueden ser descifrados y potencialmente cruzados con otros datos recopilados por la empresa. Esto podría permitir la identificación de usuarios específicos y el seguimiento de sus actividades dentro de la aplicación.
Otro hallazgo preocupante es el uso de un esquema de cifrado simétrico conocido como 3DES (Triple DES), que fue declarado obsoleto por el Instituto Nacional de Estándares y Tecnología (NIST) en 2016 debido a su vulnerabilidad frente a ataques prácticos.
Además, las claves de cifrado utilizadas por la app están codificadas directamente en el software y son idénticas para todos los usuarios de iOS, lo que representa un grave error de seguridad.
El cofundador de NowSecure, Andrew Hoog, calificó estas prácticas como inaceptables y afirmó que la app no cumple con los estándares básicos de protección de datos e identidad. “Hay prácticas de seguridad fundamentales que no se están respetando, ya sea intencionalmente o no. Al final, pone en riesgo sus datos e identidad y los de su empresa”, declaró Hoog.
Rubén Conde con información de NAD
