La aplicación Deepseek Android se ha identificado con varias vulnerabilidades de seguridad significativas que representan riesgos considerables para los usuarios. Aquí están las vulnerabilidades específicas y sus implicaciones:
1. Configuración de red no garantizada: la aplicación carece de medidas de seguridad de red adecuadas, lo que lo hace altamente susceptible a los ataques de hombre en el medio (MITM). Cuando los usuarios se conectan a través de Wi-Fi públicas o redes no confiables, los atacantes pueden interceptar y manipular datos, lo que potencialmente roba credenciales de inicio de sesión, mensajes personales y detalles de pago. Para mitigar esto, Deepseek podría implementar HTTPS con HSTS y usar la fijación SSL para validar los certificados del servidor [1].
2. Sin validación o fijación de certificados SSL: Deepseek no valida los certificados SSL, lo que lo hace vulnerable a los ataques de suplantación. Los piratas informáticos pueden hacerse pasar por servidores de confianza e interceptar información confidencial, como credenciales de inicio de sesión y datos personales. Implementación de la fijación del certificado SSL y los estrictos protocolos de validación SSL pueden abordar este problema [1].
3. Detección de raíz débil: la detección de raíces ineficaz de la aplicación permite a los atacantes con acceso a la raíz a los controles de seguridad de omitir y extraer datos confidenciales. Los dispositivos enraizados son particularmente vulnerables al malware y los ataques cibernéticos avanzados. Fortalecer los mecanismos de detección de raíces con controles de seguridad avanzados e integración de bibliotecas de terceros como Safetynet puede mejorar la seguridad [1].
4. Susceptibilidad a la vulnerabilidad de Strandhogg: Deepseek es vulnerable a la vulnerabilidad de Strandhogg, lo que permite a las aplicaciones maliciosas secuestrar tareas legítimas de aplicaciones, mostrando pantallas de inicio de sesión falsas para robar credenciales de usuarios. Esto puede conducir al phishing y al robo de identidad. Actualizar la aplicación para orientar las versiones más nuevas de Android con parches de seguridad mejorados e implementar la estricta configuración de afinidad de tareas puede mitigar este riesgo [1].
5. Exposición a la vulnerabilidad de Janus: la aplicación está expuesta a la vulnerabilidad de Janus, lo que permite a los atacantes modificar el archivo APK de la aplicación sin romper su firma digital, lo que permite la inyección de malware. Implementar las comprobaciones de integridad de aplicaciones, el uso de la firma de aplicaciones de Google Play y el empleo de la firma de aplicaciones de Android puede evitar modificaciones no autorizadas [1].
6. Riesgos de cifrado y privacidad débiles: la aplicación utiliza mecanismos de cifrado débiles, lo que hace que los datos del usuario sean susceptibles a la intercepción. Emplea algoritmos criptográficos obsoletos y carece de fijación de certificado adecuada, lo que podría permitir a los atacantes explotar certificados falsos e interceptar el tráfico. Esto expone a los usuarios al robo de identidad, fraude financiero y vigilancia no autorizada. Es necesario implementar estándares de cifrado robustos como cifrado de extremo a extremo (E2EE) o protocolos TLS fuertes [3].
7. Riesgos de inyección SQL y claves codificadas: la aplicación también enfrenta riesgos de inyección SQL y utiliza claves de cifrado codificadas, debilitando aún más su postura de seguridad. Estas prácticas aumentan el riesgo de violaciones de datos y acceso no autorizado [6].
8. Recopilación de datos y preocupaciones de privacidad: la aplicación de Deepseek recopila más permisos de los necesarios, recopilando metadatos y potencialmente rastreando el comportamiento del usuario más allá de lo que se revela en su política de privacidad. Esta exageración podría conducir a la recolección de datos no autorizada y conflictos con regulaciones de privacidad como GDPR y CCPA [3].
Estas vulnerabilidades destacan la necesidad de que Deepseek aborde sus problemas de seguridad y privacidad para proteger los datos del usuario de manera efectiva.
Citas:
[1] https://www.appknox.com/blog/is-your-ai-app-safe-analyzing-deepseek
[2] https://blogs.cisco.com/security/evaluating-security-risk-in-deepseek-and--tero-frontier-razoning-models
[3] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-risks
[4] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-preventent-tamage
[5] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[6] https://securityscorecard.com/blog/a-deep-peek-atdeepseek/
[7] https://www.wiz.io/blog/wiz-research-ucovers-exposed-deepseek-database-leak
[8] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[9] https://uwaterloo.ca/information-systems-technology/news/deepseek-app-security-pivacy-weaknesses
[10] https://www.nowsecure.com/blog/2025/02/06/Nowsecure-UnCovers-Multiple-Security-and-Privacy-Flaws-ing-Deepseek-ios-Mobile-App/
[11] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-indeepseek-ai-app/