Para abordar las vulnerabilidades de seguridad asociadas con la desactivación de la seguridad del transporte de aplicaciones (ATS) en Deepseek, se podrían haber implementado varias medidas de seguridad alternativas:
1. Habilite y haga cumplir ATS: la alternativa más directa es habilitar ATS y garantizar que todas las comunicaciones entre la aplicación y sus servicios de backend usen HTTPS. Esto evitaría que la aplicación envíe datos confidenciales sobre canales no cifrados, reduciendo significativamente el riesgo de ataques de hombre en el medio (MITM) [2] [4].
2. Implementar el cifrado de extremo a extremo (E2EE): Deepseek podría haber implementado E2EE para proteger los datos del usuario de la intercepción y la manipulación. Esto implica encriptar datos en el lado del cliente antes de que se transmita al servidor, asegurando que solo el destinatario previsto pueda descifrarlo. Este enfoque salvaguardaría la información confidencial incluso si los datos se interceptan durante la transmisión [6].
3. Use algoritmos de cifrado más fuertes: en lugar de usar algoritmos de cifrado obsoletos como 3DE, Deepseek podría haber adoptado estándares de cifrado más seguros y modernos como AES-256. Esto dificultaría mucho para los atacantes descifrar y acceder a datos confidenciales [4] [6].
4. Certificado de fijación: la implementación de la fijación de certificado adecuado ayudaría a evitar que los atacantes usen certificados falsos para interceptar el tráfico. Esto implica integrar el certificado SSL/TLS esperado o la clave pública en la aplicación, asegurando que solo sean confiables las comunicaciones con el certificado esperado [6].
5. Certificado de la aplicación móvil: el uso de una solución de certificación de la aplicación móvil como el aproximado podría garantizar que solo las instancias genuinas y no modificadas de la aplicación puedan conectarse a las API de backend. Esto evitaría que las aplicaciones alteradas o reempacadas hagan solicitudes de API no autorizadas y roben datos del usuario [2].
6. Almacenamiento de datos seguro: Deepseek debe asegurarse de que todos los datos almacenados en el dispositivo o transmitidos a los servidores estén encriptados y protegidos contra el acceso no autorizado. Esto incluye el uso de mecanismos de almacenamiento seguros para datos confidenciales, como contraseñas y claves de cifrado [4] [6].
7. Auditorías de seguridad regulares: Realizar auditorías de seguridad regulares y pruebas de penetración ayudaría a identificar vulnerabilidades desde el principio, lo que permite a Deepseek abordarlas antes de que se conviertan en problemas importantes. Este enfoque proactivo mejoraría la postura de seguridad general de la aplicación [2] [4].
Al implementar estas medidas, Deepseek podría mejorar significativamente su seguridad y proteger los datos de los usuarios de manera más efectiva, reduciendo los riesgos asociados con la desactivación de ATS y otras vulnerabilidades de seguridad.
Citas:
[1] https://www.freecodecamp.org/news/secure-ways-to-access-deepseek-using-third-party-apps/
[2] https://www.linkedin.com/pulse/deepseek-apps-security-failures-how-alt-could-have-been-ted-miracco-iudyc
[3] https://www.digitalocean.com/resources/articles/deepseek-alternatives
[4] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[5] https://www.byteplus.com/en/topic/385432
[6] https://moxso.com/blog/deepseeks-android-app-flaws-privacy-risks
[7] https://www.linkedin.com/pulse/deepseek-what-organizations-sheuld-know-reputable-ai-options-6nzse
[8] https://blogs.cisco.com/security/evaluating-security-risk-in-deepseek-and--tero-frontier-razoning-models