Una nueva auditoría de la aplicación móvil de DeepSeek para el sistema operativo iOS de Apple ha encontrado evidentes problemas de seguridad, el más importante de los cuales es que envía datos confidenciales a través de Internet sin ningún tipo de cifrado, lo que los expone a ataques de interceptación y manipulación.
La evaluación proviene de NowSecure, que también encontró que la aplicación no cumple con las mejores prácticas de seguridad y que recopila datos extensos de usuarios y dispositivos.
«La aplicación DeepSeek para iOS envía algunos datos de registro de aplicaciones móviles y de dispositivos a través de Internet sin cifrarlos», afirmó la empresa . «Esto expone cualquier dato del tráfico de Internet a ataques tanto pasivos como activos».
El desmontaje también reveló varias debilidades de implementación en lo que respecta a la aplicación de cifrado a los datos de los usuarios. Esto incluye el uso de un algoritmo de cifrado simétrico inseguro ( 3DES ), una clave de cifrado codificada de forma rígida y la reutilización de vectores de inicialización.
Además, los datos se envían a servidores administrados por una plataforma de almacenamiento y computación en la nube llamada Volcano Engine , propiedad de ByteDance, la empresa china que también opera TikTok.
«La aplicación DeepSeek para iOS desactiva globalmente la seguridad de transporte de aplicaciones (ATS), que es una protección a nivel de plataforma iOS que impide que se envíen datos confidenciales a través de canales no cifrados», afirmó NowSecure. «Como esta protección está desactivada, la aplicación puede (y lo hace) enviar datos no cifrados a través de Internet».
Los hallazgos se suman a una lista creciente de preocupaciones que se han planteado en torno al servicio de chatbot de inteligencia artificial (IA), incluso cuando se disparó a la cima de las listas de las tiendas de aplicaciones tanto en Android como en iOS en varios mercados de todo el mundo.
La empresa de ciberseguridad Check Point afirmó que observó casos de actores de amenazas que aprovechaban los motores de inteligencia artificial de DeepSeek, junto con Alibaba Qwen y OpenAI ChatGPT, para desarrollar ladrones de información, generar contenido sin censura o sin restricciones y optimizar scripts para la distribución masiva de spam.
«A medida que los actores de amenazas utilizan técnicas avanzadas como el jailbreak para eludir las medidas de protección y desarrollar ladrones de información, robo financiero y distribución de spam, la urgencia de que las organizaciones implementen defensas proactivas contra estas amenazas en evolución garantiza defensas sólidas contra el posible mal uso de las tecnologías de IA», dijo la compañía .
A principios de esta semana, Associated Press reveló que el sitio web de DeepSeek está configurado para enviar información de inicio de sesión del usuario a China Mobile, una empresa de telecomunicaciones estatal a la que se le ha prohibido operar en Estados Unidos.
Los enlaces chinos de la aplicación, al igual que TikTok , han llevado a los legisladores estadounidenses a presionar para que se prohíba a nivel nacional DeepSeek en los dispositivos gubernamentales debido a los riesgos de que pueda proporcionar información de los usuarios a Beijing.
Vale la pena señalar que varios países, incluidos Australia , Italia , los Países Bajos , Taiwán y Corea del Sur , y agencias gubernamentales de la India y los Estados Unidos, como el Congreso, la NASA, la Marina, el Pentágono y Texas, han instituido prohibiciones sobre DeepSeek en los dispositivos gubernamentales.
La explosión de popularidad de DeepSeek también lo ha llevado a luchar contra ataques maliciosos: la firma china de ciberseguridad XLab le dijo a Global Times que el servicio ha sido objeto de sostenidos ataques distribuidos de denegación de servicio (DDoS) originados en las botnets Mirai hailBot y RapperBot a fines del mes pasado.
Mientras tanto, los cibercriminales no pierden tiempo para aprovechar el frenesí que rodea a DeepSeek para crear páginas falsas que propagan malware, estafas de inversión falsas y esquemas fraudulentos de criptomonedas.
Fuente y redacción: thehackernews.com
