La versión online de DeepSeek ha estado exponiendo públicamente chats de los usuarios, según Wiz. Esto es lo que sabemos
Es fácil olvidar que las conversaciones que mantenemos con los chatbots de inteligencia artificial (IA), como ChatGPT o DeepSeek, no son completamente privadas. Generalmente, los mensajes que intercambiamos con estas novedosas aplicaciones son utilizados para entrenar nuevos modelos de lenguaje y pueden ser revisados por personal de la compañía en determinados casos, como para abordar posibles infracciones de los términos del servicio.
Ahora bien, nuestros datos podrían llegar incluso más lejos en caso de presentarse un incidente de seguridad. Según la compañía especializada Wiz, una base de datos de DeepSeek acabó expuesta durante un determinado período de tiempo. El fallo permitía a actores externos acceder a una variedad de datos, como historial de chats, flujos de registros, información sensible de la API y detalles operativos. Veamos el tema en profundidad.
DeepSeek y una base de datos expuesta
Los investigadores de Wiz, que en el pasado han detectado varias vulnerabilidades en servicios como Bing de Microsoft y Oracle Cloud, se propusieron evaluar la seguridad de DeepSeek. “En pocos minutos” encontraron una base de datos de ClickHouse expuesta públicamente en Internet. Es decir, se podía acceder a ella sin credencial de autenticación alguna. ClickHouse es un sistema de gestión de base de datos Open Source desarrollado por Yandex.
El equipo de la compañía estadounidense de seguridad determinó que la exposición permitía la ejecución directa de consultas SQL arbitrarias a través del navegador. Se trataba de algo bastante peligroso porque abría la puerta a obtener datos internos. Después de ejecutar varias consultas descubrieron “datos muy sensibles”, entre los que se encontraban registros de textos sin formato y un volumen significativo de historial de chat de los usuarios.
Wiz explica que entre los fragmentos de código se hallaban numerosas conversaciones. En la captura de pantalla inferior vemos un mensaje escrito en chino, que traducido al español dice: “Habla sobre los cohetes de propulsión sólida, cubriendo su invención o descubrimiento, evolución histórica, relevancia, componentes, principio de funcionamiento, funciones y posibles avances futuros. Desglósalo en secciones y proporciona detalles”.
El mensaje en cuestión nunca debió haber salido de los servidores de DeepSeek, una empresa que, al igual que otras a las que confiamos nuestros datos, debería protegerlos. Wiz explica que no tardó en revelar el problema a DeepSeek, que resolvió rápidamente el fallo. Cabe señalar que no hemos encontrado una declaración oficial de la compañía, por lo que hemos escrito a DeepSeek para incluir sus comentarios en este artículo.
DeepSeek se encuentra bajo escrutinio en Europa. Las autoridades de protección de datos de Irlanda e Italia han emitido solicitudes de información en medio de preocupaciones de privacidad. El organismo italiano, recordemos, sancionó a OpenAI el año pasado por no informar una brecha de datos ocurrida en 2023. A principios de esta semana, DeepSeek dijo que estaba sufriendo un ciberataque, pero no brindó detalles.
