Fotomontaje con el logo de DeepSeek y la silueta de un iPhone.

Fotomontaje con el logo de DeepSeek y la silueta de un iPhone. Manuel Fernández Omicrono

Software

La app de DeepSeek para iOS es un caos: tiene múltiples fallos de seguridad y envía datos privados sin cifrar

Una compañía de ciberseguridad ha revelado los problemas de ciberseguridad existentes en la aplicación, y pide no usarla.

Más información: Sam Altman, el 'padre' de ChatGPT, elogia a la IA china DeepSeek y Trump lanza un aviso a la industria de EEUU

Publicada

La simple idea de que una desconocida IA china superase a ChatGPT fue una sorpresa en España. Le sguió la importante explosión de DeepSeek, la inteligencia artificial china que ha puesto patas arriba al mercado ofreciendo una solución que no está exenta de agujeros de privacidad. Y no solo a nivel de su propia naturaleza; la app de iPhone de DeepSeek también es un problema serio de ciberseguridad para los usuarios.

Así lo revela la compañía destinada a soluciones de seguridad y ciberseguridad NowSecure, que ha publicado un extenso análisis en el que detallan cómo la app de DeepSeek para iOS cuenta con graves problemas de seguridad. No solo eso; también presenta cuestiones de privacidad complicadas, que van desde el envío de datos no cifrados hasta estándares de almacenamiento y cifrado débiles e inseguros. Tal es la situación que desde NowSecure declaran a esta app como no segura.

La evaluación integral de seguridad y privacidad hecha por la firma ha llevado a que NowSecure pida la prohibición del uso de esta app "para proteger datos confidenciales y mitigar posibles riesgos cibernéticos". Entre sus argumentos para esta petición, la compañía revela que la app, al igual que su chatbot online, envía datos a China regidos por las leyes del país, lo que "genera inquietudes sobre el acceso gubernamental y los riesgos de cumplimiento".

DeepSeek no es segura

La app de DeepSeek para iOS presenta cuantiosos fallos de seguridad, incluyendo un fallo en el uso del sistema de seguridad de transporte de aplicaciones (ATS) integrado del iPhone. La idea es que el sistema ATS garantice que los datos personales y confidenciales del usuario solo se envíen a través de canales cifrados; la app de DeepSeek deshabilita todo ello. "Dado que esta protección está desactivada, la app puede enviar datos no cifrados a través de Internet", exponen los investigadores.

Cabe aclarar que los datos enviados sin cifrar no gozan de gran relevancia por sí solos, pero varios conjuntos de ellos pueden acabar con la privacidad de los usuarios. "Si bien ninguno de estos datos tomados por separado es muy riesgoso, la agregación de muchos puntos de datos a lo largo del tiempo permite identificar fácilmente a las personas", revela NowSecure. ¿Y qué hay de los datos encriptados?

Ilustración con el logo de DeepSeek en la pantalla de un teléfono móvil sobre el logo de ChatGPT.

Ilustración con el logo de DeepSeek en la pantalla de un teléfono móvil sobre el logo de ChatGPT. Reuters

El problema en este caso no es la encriptación, sino el método usado, que ya está obsoleto y presenta problemas. El algoritmo de cifrado que DeepSeek ha escogido para su app de IOS usa un algoritmo de cifrado roto conocido o 3DES, lo que hace que dichos datos estén potencialmente expuestos. Todos estos factores concluyen que, a ojos de NowSecure, el usuario final pueda ser considerado un buen objetivo para tácticas de espionaje.

Incluso el almacenado de los datos, que incluyen nombres de usuario, contraseñas y claves de cifrado es inseguro. NowSecure puedo recuperar datos de una base de datos almacenada en caché en el dispositivo; si se tiene acceso físico a un dispositivo desbloqueado, cualquier atacante con conocimientos puede robar estos datos. 

Logotipo de DeepSeek en un móvil

Logotipo de DeepSeek en un móvil Reuters El Androide Libre

Así lo explica NowSecure: "Estos datos almacenados en caché se producen cuando los desarrolladores usan la API NSURLRequest para comunicarse con puntos de conexión remotos. De forma predeterminada, la API almacena en caché las respuestas HTTP en una rchivo Cache.db, a menos que el almacenamiento en caché esté deshabilitado". De nuevo, si un atacante accede físicamente a un iPhone con esta app, podrá acceder a estos datos.

La conexión con ByteDance, compañía matriz de TikTok se origina por otro lado en Volcengine, una plataforma de servicios en la nube que es propiedad de esta compañía; los datos se envían entre otros a esta compañía. A esto tenemos que sumarle lo que ya sabíamos sobre el almacenamiento de datos de DeepSeek en servidores chinos, sometidos a las leyes de la República Popular de China.

Reuters El Androide Libre

En definitiva, la app de DeepSeek de iOS pesenta problemas por el envío inseguro de datos, preocupaciones por la exposición de estos datos a vulnerabilidades debido a las claves codificadas usadas en los sistemas de cifrado, incluye almacenamiento de datos en China y abre la puerta al intercambio de datos a terceros, como la propia ByteDance, dueña de TikTok.

A finales de enero, el medio WIRED descubría a través de Ami Luttwak, director de tecnología de Wiz, una brecha de seguridad que involucraba directamente los datos de los usuarios. Estos investigadores detallaban en un artículo que era increíblemente fácil acceder a las bases de datos de los usuarios, lo que los exponía gravemente. Todos estos asuntos han llevado a que países como Italia ya hayan bloqueado el chatbot de IA, y que otros como España también hayan iniciado sus propias pesquisas.