Deepseek, un chatbot chino de IA, recientemente se enfrentó a una violación de seguridad significativa que expuso datos confidenciales del usuario, lo que plantea serias preocupaciones sobre sus prácticas de protección de datos. La violación involucró más de un millón de líneas de entradas de registro, incluidos historiales de chat privados y secretos operativos, que se encontraron en una base de datos no garantizada accesible al público [1] [2]. Este incidente ha provocado investigaciones tanto en Europa como en los Estados Unidos, lo que lleva a acciones regulatorias como la eliminación de Deepseek de la App Store en Italia [1] [2].
Respuesta a la violación
Al descubrir la base de datos expuesta por Wiz Research, Deepseek actuó rápidamente para asegurar la información. Según los informes, la compañía eliminó la base de datos de Clickhouse no garantizada dentro de una hora de ser alertada, aunque la falta de medidas de seguridad iniciales generó alarmas sobre el acceso potencial no autorizado antes de esta acción [2] [4]. Los investigadores de Wiz señalaron que la base de datos estaba completamente desprotegida, lo que permitió un acceso sin restricciones a registros internos y datos confidenciales sin ningún mecanismo de autenticación [2] [4].
Implicaciones e investigaciones
La violación ha llevado a un mayor escrutinio de los cuerpos reguladores. Además de la rápida acción de Italia, las investigaciones están en curso en otros países, incluidos Irlanda y Estados Unidos, centrándose en las prácticas de manejo de datos de Deepseek y el cumplimiento de las regulaciones de privacidad [2] [3]. El Consejo de Seguridad Nacional de EE. UU. También está revisando las implicaciones de las operaciones de Deepseek sobre la seguridad nacional, dada la naturaleza sensible de los datos involucrados [2].
Lecciones aprendidas
Este incidente subraya la necesidad crítica de protocolos de seguridad sólidos en el desarrollo de IA. El despliegue rápido de las tecnologías de IA debe ir acompañada de estrictas medidas de protección de datos para evitar violaciones similares en el futuro. Se aconseja a los usuarios que permanezcan atentos a su información personal al usar servicios de IA y analizar las prácticas de seguridad de las plataformas con las que se involucran [1] [4].
En resumen, si bien Deepseek ha tomado medidas para abordar las consecuencias inmediatas de esta violación, el incidente destaca cuestiones más amplias con respecto a la ciberseguridad en las tecnologías de IA rápidamente avanzando rápidamente.
Citas:
[1] https://www.reportersdelsur.com.mx/news-en/Massive-Security-Reaching-Deepseeks-ai-CHATBOT-ExPoses-Millions-of-Sensitive-Entre-entries/96197/
[2] https://www.csoonline.com/article/3813224/deepseek-leaks-one-million-sensitive-records-in-a-major-data-breach.html
[3] https://blog.cofounderai.site/exposed-deepseek-database-reveals-sensitive-data-britach-393090627cbb?gi=a5d8a444cbe7
[4] https://thehackernews.com/2025/01/deepseek-ai-database-exposed-over-1.html
[5] https://chat.deepseek.com/downloads/deepseek%20privacy%20policy.html
[6] https://www.wiz.io/blog/wiz-research-ucovers-exposed-deepseek-database-leak
[7] https://stayaiware.com/story/microsoft-and-openai-investigate-data-breach-by-epseek
[8] https://socradar.io/deepseek-cybersecurity-risks-ai-platform/