En un reciente incidente que ha llamado la atención del mundo tecnológico, una empresa china especializada en inteligencia artificial dejó expuesta su base de datos sin ninguna protección. Este fallo permitió el acceso público a información confidencial de usuarios, incluyendo registros de chat y claves API. La firma de ciberseguridad Wiz descubrió esta vulnerabilidad y alertó sobre los riesgos significativos que representa. A pesar de ser conocida por sus modelos generativos competitivos y accesibles, DeepSeek enfrenta ahora críticas por su infraestructura de seguridad insuficiente.
Detalles del Incidente de Seguridad
En un otoño lleno de desafíos para la industria de la inteligencia artificial, la compañía china DeepSeek experimentó un grave problema de seguridad. Los investigadores de Wiz detectaron que la base de datos de DeepSeek, alojada en ClickHouse, estaba completamente abierta al público sin necesidad de autenticación alguna. Las direcciones oauth2callback.deepseek.com:9000 y dev.deepseek.com:9000 permitían el acceso libre a una gran cantidad de registros, entre ellos historial de conversaciones con el chatbot, claves API en texto plano y metadatos operativos. Esta exposición afectó más de un millón de eventos, todos disponibles sin restricciones.
Los expertos también pudieron ejecutar consultas SQL arbitrarias a través de la interfaz HTTP de ClickHouse, accediendo a una tabla denominada log_stream que almacenaba información altamente sensible. Dependiendo de la configuración, un atacante podría haber extraído contraseñas en texto claro, archivos locales y datos propietarios sin mayores obstáculos.
Implicaciones y Riesgos
Este incidente pone en evidencia graves amenazas para los usuarios de DeepSeek y para la privacidad de sus datos. La falta de medidas de protección en servicios de inteligencia artificial plantea múltiples riesgos, como el robo de credenciales, la exposición de información personal y la posible manipulación de los modelos de IA. Gal Nagli, investigador de seguridad en Wiz, advirtió que mientras muchos se preocupan por amenazas futuristas en IA, los riesgos reales provienen de errores básicos como la exposición accidental de bases de datos.
Tras ser notificada de la vulnerabilidad, DeepSeek corrigió el problema de inmediato. Sin embargo, este incidente destaca una preocupante falta de controles de seguridad en la empresa. Además, el historial de la compañía en materia de privacidad ya había generado controversia, lo que llevó a que su aplicación móvil no esté disponible en Italia y sea investigada en Irlanda por posibles violaciones de protección de datos.
Perspectiva y Conclusión
Este incidente subraya la urgente necesidad de reforzar las medidas de ciberseguridad en la industria de la inteligencia artificial. La filtración de datos no solo expone a los usuarios a posibles ataques, sino que también debilita la confianza en estas plataformas emergentes. Es fundamental que las empresas adopten prácticas de ciberseguridad más rigurosas, trabajando estrechamente con equipos de seguridad para prevenir incidentes similares. Implementar controles de acceso adecuados, cifrar la información sensible y realizar auditorías periódicas son medidas fundamentales para evitar vulnerabilidades y proteger a los usuarios de posibles filtraciones.