DeepSeek Envía Datos Sensibles de Usuario No Protegidos a ByteDance, la Empresa Madre de TikTok

Existen crecientes preocupaciones sobre la seguridad de la aplicación DeepSeek para iOS, ya que puede estar transmitiendo datos de usuario no protegidos a ByteDance, la empresa matriz de TikTok.

Según la empresa de seguridad móvil con sede en EE. UU. NowSecure, que realizó una evaluación exhaustiva de seguridad y privacidad de la aplicación móvil DeepSeek para iOS en dispositivos iOS reales, se encontró que la aplicación utiliza transmisión de datos sin cifrar, claves de cifrado débiles y codificadas, almacenamiento de datos inseguro, extensa recopilación de datos y huellas digitales, y envía datos sin cifrar a China.

El primer y más importante problema destacado por NowSecure es que la aplicación DeepSeek para iOS envía datos de registro de aplicaciones móviles y de dispositivos a través de internet sin cifrado, lo que la hace vulnerable a la interceptación y manipulación.

Por ejemplo, un atacante en la red con acceso privilegiado (comúnmente conocido como ataque Man-in-the-Middle) podría interceptar y modificar los datos, comprometiendo la integridad de la aplicación y la seguridad de los datos.

Aunque Apple tiene protecciones de plataforma integradas para proteger a los desarrolladores de introducir este fallo, según NowSecure, la protección fue desactivada globalmente para la aplicación DeepSeek para iOS. **

“ Cuando un usuario lanza por primera vez la aplicación DeepSeek para iOS, se comunica con la infraestructura de backend de DeepSeek para configurar la aplicación, registrar el dispositivo y establecer un mecanismo de perfil de dispositivo. Incluso cuando la red está configurada para atacar activamente la aplicación móvil (a través de un ataque MITM), la aplicación aún ejecuta estos pasos, lo que permite tanto ataques pasivos como activos contra los datos,” escribió la empresa en una publicación de blog publicada el jueves.

Las aplicaciones modernas utilizan cifrado de datos para salvaguardar la confidencialidad y la integridad, lo que requiere una implementación adecuada para proteger los datos del usuario.

Sin embargo, la aplicación se basa en un algoritmo de cifrado simétrico inseguro (3DES), reutiliza vectores de inicialización y codifica las claves de cifrado, violando las mejores prácticas de seguridad.

Además, la aplicación DeepSeek para iOS almacena de manera insegura nombres de usuario, contraseñas y claves de cifrado, aumentando el riesgo de robo de credenciales. La aplicación también recopila datos de usuario y del dispositivo que pueden ser utilizados para el seguimiento y la desanonimización.

Además, la aplicación utiliza decenas de puntos de datos, incluyendo ID de organización, versión del sistema operativo del dispositivo y el idioma seleccionado en la configuración. NowSecure señala que los datos de usuario se envían a servidores de Volcengine, una plataforma de servicio en la nube lanzada por ByteDance en 2021.

Dado que ByteDance está gobernada por leyes chinas, puede verse obligada a compartir los datos que recopila con el gobierno chino, lo que plantea importantes preocupaciones de vigilancia y cumplimiento para las empresas y gobiernos que utilizan la aplicación.

“La aplicación DeepSeek para iOS desactiva globalmente la Seguridad de Transporte de Aplicaciones (ATS), que es una protección a nivel de plataforma iOS que impide que datos sensibles sean enviados a través de canales no cifrados. Dado que esta protección está desactivada, la aplicación puede (y lo hace) enviar datos sin cifrar a través de internet,” agregó NowSecure.

NowSecure sugiere que los usuarios eliminen de inmediato DeepSeek de sus iPhones para proteger su seguridad y privacidad.

También recomienda a las empresas y agencias eliminar de inmediato la aplicación móvil DeepSeek para iOS de sus entornos gestionados y BYOD, considerar plataformas alternativas de IA (inteligencia artificial) que prioricen la seguridad móvil y la protección de datos, y monitorear continuamente las aplicaciones móviles para detectar riesgos emergentes.