El uso del algoritmo 3DES en la aplicación Deepseek plantea riesgos de seguridad significativos debido a su naturaleza anticuada e insegura. Estos son los riesgos detallados asociados con el uso de 3DE:
1. Inseguridad de 3Des: El algoritmo de cifrado Triple DES (3DES) se considera ampliamente inseguro y desagradable. Alguna vez fue un estándar para el cifrado de datos seguro, pero ha sido reemplazado por algoritmos más seguros como AES debido a sus vulnerabilidades. El uso de 3DES hace que los datos encriptados sean susceptibles al descifrado por parte de los atacantes, comprometiendo la privacidad del usuario e integridad de datos [2] [4] [9].
2. Claves de cifrado codificados: la implementación de Deepseek de 3DE implica claves de cifrado de codificación dura dentro del código de la aplicación. Esta práctica es muy insegura porque permite a los atacantes potenciales extraer estas claves de la aplicación, obteniendo así acceso para descifrar cualquier dato encriptado con ellos. Las claves codificadas eliminan los beneficios de seguridad del cifrado, ya que se pueden descubrir y explotar fácilmente [4] [9] [10].
3. Reutilización de vectores de inicialización (IV): la reutilización de los vectores de inicialización (IV) junto con 3DES debilita aún más el cifrado. Los IV están destinados a ser únicos para cada operación de cifrado para evitar ataques que se basan en patrones en datos encriptados. Reutilizar IVS facilita a los atacantes deducir la clave de cifrado o explotar las debilidades en el proceso de cifrado [1] [9].
4. Exposición y manipulación de datos: dado que Deepseek también deshabilita la seguridad del transporte de aplicaciones (ATS) en iOS, lo que evita que los datos confidenciales se envíen a través de canales no entrelazados, la aplicación transmite algunos datos sin ningún cifrado. Esto expone a los usuarios a ataques pasivos y activos, donde los datos pueden interceptarse y manipularse [1] [7] [10].
5. Privacidad y preocupaciones de soberanía de datos: la transmisión de datos de los usuarios a los servidores administrados por Bytedance, una empresa china, plantea preocupaciones sobre la gobernanza de datos bajo la jurisdicción china. Esto incluye el potencial de vigilancia sin orden judicial y mal uso de datos, que son riesgos de privacidad significativos para los usuarios [5] [6].
En resumen, el uso de 3DE en Deepseek, combinado con claves codificadas y IV reutilizados, socava significativamente la seguridad y la privacidad de los datos del usuario. Estas vulnerabilidades hacen de la aplicación un objetivo para amenazas cibernéticas y violaciones de datos, destacando la necesidad de prácticas de cifrado más sólidas y una mejor gobernanza de datos.
Citas:
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[2] https://www.indiatoday.in/technology/news/story/deepseek-r1-recent-findings-reveal-multiple-security-flaws-in-ios-app-26774442-2025-02-02-02-02-02-02-02-02-02
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-the-security-risks-ofdeepseek-r1/
[4] https://www.linkedin.com/pulse/encryption-crisis-ai-lessons-from-eepseeks-security-failures-faux-tx7re
[5] https://blog.devolutions.net/2025/02/Cybersecurity-NewsFlash--Researchers-find-Security-vulnerability-in-deepseek-for-ios/
[6] https://sbscyber.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityIntelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://approov.io/blog/deepseek-apps-security-failures-how-approov-could-have-preventent-tamage
[10] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-indeepseek-ai-app/