El uso de claves de cifrado codificadas en las aplicaciones de Deepseek plantea varios riesgos significativos para la seguridad y la privacidad de los datos del usuario. Estos son algunos de los riesgos potenciales asociados con esta práctica:
1. Exposición de datos e intercepción: las claves de cifrado codificados se pueden extraer fácilmente del código fuente de la aplicación, lo que permite que las partes no autorizadas accedan y descifraran datos confidenciales. Esto es particularmente preocupante para Deepseek, ya que recopila extensos datos de usuarios y dispositivos, incluidos los patrones de pulsación de teclas, que se transmiten a servidores en China [1] [3] [4]. El uso de algoritmos de cifrado obsoletos como 3DE exacerba aún más esta vulnerabilidad, ya que se sabe que estos algoritmos son inseguros [1] [3] [9].
2. Falta de rotación clave: una vez que las teclas codificadas están expuestas, no se pueden cambiar fácilmente. Esto significa que incluso si se descubre la vulnerabilidad, las claves permanecen comprometidas hasta que se actualiza la aplicación, lo que puede llevar tiempo. Esta incapacidad para rotar las claves aumenta rápidamente la ventana de vulnerabilidad por violaciones de datos [2] [8].
3. Riesgos de inyección y base de datos de SQL: las aplicaciones de Deepseek también enfrentan riesgos de inyección SQL, lo que puede permitir a los atacantes manipular las consultas de la base de datos. Cuando se combina con claves de cifrado codificadas, esto podría permitir a los atacantes acceder y descifrar registros de usuario confidenciales almacenados en la base de datos [1] [4] [7].
4. Seguridad nacional y preocupaciones de soberanía de datos: la transmisión de datos de los usuarios a servidores vinculados a entidades estatales chinas plantea preocupaciones sobre la soberanía de los datos y la seguridad nacional. La participación de la byte, la empresa matriz de Tiktok, complica aún más estos problemas debido a las prácticas de gobierno de datos de China, que pueden incluir vigilancia sin orden judicial [1] [3] [7].
5. Almacenamiento de datos inseguros: las prácticas de almacenamiento inseguras de Deepseek, incluido el almacenamiento inseguro de nombres de usuario, contraseñas y claves de cifrado, aumentan el riesgo de robo de credenciales. Esto puede conducir a un acceso no autorizado a las cuentas de los usuarios y comprometer información confidencial [3] [10].
6. Perfil de comportamiento: la recopilación de dinámicas de pulsación de teclas y otros datos de comportamiento del usuario se pueden usar para construir perfiles detallados de los usuarios. Esto plantea problemas de privacidad, especialmente cuando dichos datos se transmiten a entidades que pueden usarlos para rastrear o fines de vigilancia [1] [4].
En resumen, el uso de claves de cifrado codificadas en las aplicaciones de Deepseek aumenta significativamente el riesgo de violaciones de datos, acceso no autorizado y violaciones de privacidad. Estos riesgos se ven agravados por las extensas prácticas de recopilación de datos de la aplicación y sus conexiones con entidades con posibles implicaciones de seguridad nacional.
Citas:
[1] https://ssojet.com/blog/security-and-privacy-risks-indeepseeks-nroid-app-insights-perts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-use-of-hard-coded-cryptográfica-key%EF%BF%BC/
[3] https://blog.devolutions.net/2025/02/Cybersecurity-NewsFlash--Researchers-find-Security-vulnerability-in-deepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-indeepseek-ai-app-a-27486
[5] https://breachforce.net/exploiting-exponed-ennption- keeys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-atdeepseek/
[8] https://docs.guardrails.io/docs/vulnerability-classes/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-indeepseek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/Nowsecure-UnCovers-Multiple-Security-and-Privacy-Flaws-ing-Deepseek-ios-Mobile-App/