La inteligencia artificial generativa ha tomado al mundo por sorpresa, y DeepSeek, una plataforma con sede en China, ha estado en el centro de la atención en los últimos días. Sin embargo, un hallazgo reciente ha puesto en duda la seguridad de la plataforma: investigadores de la empresa de seguridad en la nube Wiz descubrieron que DeepSeek dejó una de sus bases de datos críticas expuesta en Internet.
El incidente de seguridad
Según el informe de Wiz, la base de datos expuesta contenía más de un millón de registros, incluyendo registros del sistema, envíos de usuarios y claves API de autenticación. Esto significa que cualquier persona que se cruzara con la base de datos podía acceder a información crítica sin necesidad de permisos especiales.
Los investigadores intentaron contactar a DeepSeek a través de correos electrónicos y perfiles en LinkedIn, sin recibir respuesta inmediata. No obstante, poco después de enviar sus mensajes, la base de datos fue bloqueada, lo que sugiere que DeepSeek tomó medidas rápidas tras la advertencia.
La gravedad del problema
El CTO de Wiz, Ami Luttwak, calificó la falla como un error grave. «Los errores suceden, pero este es dramático, porque el esfuerzo para evitarlo era mínimo y el nivel de acceso que obtuvimos fue muy alto», afirmó. En su opinión, esto significa que el servicio de DeepSeek no es seguro para datos sensibles.
El problema de bases de datos expuestas en la nube no es nuevo, pero el caso de DeepSeek es especialmente alarmante porque la información fue encontrada con un escaneo mínimo, lo que indica una configuración extremadamente deficiente en términos de ciberseguridad.
Los riesgos para los usuarios
La base de datos filtrada parece haber sido un servidor de análisis llamado ClickHouse. Entre los datos expuestos, los investigadores encontraron rutas de acceso de los usuarios, interacciones con la plataforma y claves API. Estas últimas son particularmente peligrosas, ya que podrían haber permitido a atacantes manipular cuentas de usuarios o incluso comprometer otros sistemas internos de DeepSeek.
El investigador independiente Jeremiah Fowler, experto en bases de datos expuestas, también se pronunció sobre el incidente: «Es impactante que una empresa de IA pueda cometer un error tan básico desde el punto de vista de la seguridad». Según Fowler, este tipo de fallas no solo ponen en riesgo la privacidad de los usuarios, sino que también abren la puerta a ataques maliciosos.
Comparación con OpenAI y preocupaciones geopolíticas
Curiosamente, el diseño de DeepSeek parece estar inspirado en OpenAI. Los investigadores de Wiz encontraron similitudes en la infraestructura de la plataforma y en el formato de sus claves API, lo que sugiere que DeepSeek buscó hacer su servicio compatible con usuarios que están acostumbrados a OpenAI.
Por otro lado, las conexiones chinas de DeepSeek han generado preocupaciones a nivel internacional. La marina de EE. UU. ya emitió una alerta a su personal prohibiendo el uso del servicio debido a posibles riesgos de seguridad y éticos. Además, Italia ha comenzado a investigar el origen de los datos de entrenamiento de DeepSeek y si se está utilizando información personal sin consentimiento.
El impacto en la industria de la IA
DeepSeek ha crecido rápidamente en los últimos días, llegando a encabezar las listas de descargas en Apple y Google Play. Su popularidad ha sido tan grande que ha provocado caídas en el valor de las acciones de empresas de IA en EE. UU., lo que evidencia la preocupación del mercado ante la competencia emergente.
Sin embargo, este incidente pone de manifiesto un problema común en la industria de la inteligencia artificial: la seguridad sigue siendo una asignatura pendiente.
Desde WWWhatsnew, creemos que este caso es un recordatorio de que las plataformas de IA deben priorizar la seguridad desde el diseño. No basta con desarrollar modelos potentes; también es crucial garantizar que los datos de los usuarios estén protegidos.
El escándalo de DeepSeek deja varias lecciones importantes. Primero, demuestra que incluso las empresas de tecnología más avanzadas pueden cometer errores de seguridad básicos. Segundo, pone en evidencia la necesidad de regulaciones más estrictas en torno a la IA y el manejo de datos personales. Y tercero, recalca la importancia de que los usuarios sean conscientes de los riesgos al utilizar estas herramientas.
A medida que la inteligencia artificial continúa evolucionando, también deben hacerlo las estrategias de seguridad. Si DeepSeek quiere consolidarse como un actor importante en el mercado, tendrá que demostrar que puede manejar la seguridad con la seriedad que esta tecnología exige.