DeepSeek está enviando datos de usuarios en Estados Unidos directamente a servidores en China

La plataforma china de inteligencia artificial generativa DeepSeek, que ha ganado enorme popularidad en las últimas semanas, se encuentra bajo un escrutinio creciente debido a fallas de seguridad y preocupaciones en torno al manejo de datos de los usuarios. Según una investigación publicada por WIRED, investigadores de la empresa de ciberseguridad Wiz descubrieron una base de datos expuesta en internet que contenía más de un millón de registros, incluidos datos de usuarios y claves de autenticación de API.

“El nivel de acceso que tuvimos es muy alto para un error tan básico”, señaló Ami Luttwak, director de tecnología de Wiz, a WIRED, destacando que la exposición de información tan sensible muestra que DeepSeek carece de la madurez necesaria para manejar datos confidenciales. Según los investigadores, la base de datos descubierta era del tipo ClickHouse, usada comúnmente para análisis de servidores, y contenía desde interacciones de usuarios hasta rutas internas del sistema de DeepSeek. Aunque la base de datos fue asegurada menos de media hora después de que Wiz contactara en masa a la empresa, no está claro si actores malintencionados accedieron a la información antes.

Por otro lado, se ha señalado que DeepSeek tiene similitudes con modelos como ChatGPT de OpenAI, algo que, según WIRED, podría facilitar que los usuarios nuevos se adapten a su interfaz y sistema. “La ubicación y el acceso a esta base de datos eran particularmente fáciles de detectar”, aseguró Nir Ohfeld, jefe de investigación de vulnerabilidades en Wiz, destacando que generalmente este tipo de fallos requieren “horas de escaneo” para encontrarse, pero esta “estaba justo en la puerta de entrada”.

El rápido ascenso de DeepSeek también ha agitado el mercado de la inteligencia artificial, desestabilizando el valor de empresas estadounidenses como OpenAI. Según The Financial Times, OpenAI estaría investigando el uso de salidas de ChatGPT por parte de DeepSeek para entrenar sus modelos. Mientras tanto, otras preocupaciones se han dirigido hacia el ámbito de la ciberseguridad. De acuerdo con CNBC, la Marina de los Estados Unidos emitió una alerta a su personal advirtiendo que no “descarguen, instalen ni utilicen” los servicios de DeepSeek debido a “potenciales riesgos de seguridad y ética”.

En el continente europeo, las alarmas también están encendidas. En Italia, el regulador de protección de datos cuestionó a DeepSeek respecto al origen de sus datos de entrenamiento y posibles violaciones legales en el uso de información personal. WIRED Italia informó que, poco después de enviar estas preguntas, la aplicación dejó de estar disponible en ese país.

Sean O’Brien, fundador del Laboratorio de Privacidad de la Facultad de Derecho de Yale, añadió más inquietudes a la conversación: “DeepSeek está enviando datos básicos de red y perfiles de dispositivos a ByteDance, propietario de TikTok, y sus intermediarios”, según declaraciones recogidas por WIRED. Esto subraya un temor latente sobre el envío masivo de datos de usuarios internacionales hacia China, lo cual podría abrir la puerta a más restricciones regulatorias.

WIRED enfatizó que el flujo de información recogido por DeepSeek incluye chats, historial de navegación en su sistema, datos personales como correos electrónicos, números telefónicos y direcciones IP, además de información generada a través de cookies. Su política de privacidad aclara que los datos serán almacenados en servidores ubicados en China, donde podrían ser utilizados para cumplir “obligaciones legales” bajo leyes estrictas que permiten al gobierno acceder a datos corporativos.

Bart Willemsen, analista y experto en privacidad, comentó a WIRED que los consumidores en general no son plenamente conscientes de cómo funcionan internamente estas plataformas o de los datos sobre los cuales se entrenan. A esto se suma el temor por “posibles influencias ideológicas inherentes a los sistemas creativos”. Los riesgos de alteración subliminal de contenido o direccionamiento en las conversaciones son mayores, dada la manera activa y personal en que los usuarios interactúan con estas plataformas, advirtió Willemsen.

La censura también ha sido un tema de polémica. Usuarios reportaron que el sistema de DeepSeek no responde a preguntas sobre asuntos delicados, como la masacre de Tiananmén en 1989, y que, por el contrario, ofrece respuestas alineadas con narrativas gubernamentales chinas. Estas características han reavivado el debate sobre el manejo ético de datos por parte de compañías tecnológicas chinas.

El caso de DeepSeek pone sobre la mesa una advertencia más amplia sobre posibles vulnerabilidades en tecnologías emergentes y el impacto de estas en el ámbito geopolítico. Lukasz Olejnik, investigador independiente asociado al Instituto de Inteligencia Artificial del King’s College London, señaló a WIRED que podrían esperarse acciones regulatorias similares a las restrictivas medidas impuestas a TikTok: “No podemos descartar que en 2025 haya una expansión: acción directa contra firmas de inteligencia artificial”.

Mientras tanto, la acogida de DeepSeek no parece ralentizarse, al haber alcanzado el tope de descargas en las tiendas de aplicaciones de Apple y Google, según apunta WIRED. Sin embargo, expertos como John Scott-Railton, del Citizen Lab de la Universidad de Toronto, recuerdan a los usuarios que cualquier interacción con estas plataformas representa un trabajo a favor de las empresas y no al revés.

A medida que DeepSeek sigue atrayendo millones de usuarios a nivel global, su futuro perenne de inseguridades regulatorias y tecnológicas quizá sirva como “llamada de atención” para toda una industria que apenas empieza a adaptarse, según comentó Ohfeld: “La inteligencia artificial es la nueva frontera en todo lo relacionado con tecnología y ciberseguridad, pero seguimos viendo las mismas viejas vulnerabilidades, como bases de datos abiertas al público”.