La empresa de seguridad móvil NowSecure ha descubierto vulnerabilidades de seguridad significativas en la aplicación móvil DeepSeek para iOS que podrían comprometer la seguridad de datos empresariales y gubernamentales. La investigación identificó múltiples problemas críticos que exponen información de usuarios y potencialmente permiten la interceptación no autorizada de datos.
La evaluación de seguridad reveló varias vulnerabilidades alarmantes, incluyendo transmisión de datos sin cifrar, almacenamiento inseguro de credenciales y la capacidad de la aplicación para eludir los controles de privacidad de iOS. De particular preocupación es la transmisión de datos de la aplicación a Volcengine, una plataforma en la nube operada por ByteDance, lo que plantea riesgos potenciales de vigilancia y gobernanza de datos.
Estas fallas de seguridad podrían tener implicaciones sustanciales para las organizaciones, permitiendo potencialmente el acceso no autorizado a propiedad intelectual, secretos corporativos e información sensible. Las vulnerabilidades son especialmente críticas dada la popularidad de DeepSeek como una de las aplicaciones móviles de IA mejor clasificadas.
Los riesgos clave incluyen la transmisión de datos sensibles sin cifrado, haciéndolos susceptibles a ataques de intermediario, y el almacenamiento de nombres de usuario, contraseñas y claves de cifrado de manera insegura. La aplicación también utiliza supuestamente algoritmos de cifrado obsoletos y transmite datos a plataformas de terceros bajo controles jurisdiccionales potencialmente problemáticos.
NowSecure recomienda que empresas y agencias gubernamentales suspendan inmediatamente el uso de la aplicación DeepSeek para iOS y consideren soluciones alternativas de IA con medidas de seguridad más robustas. La firma enfatiza la importancia del monitoreo continuo de seguridad de aplicaciones móviles para mitigar riesgos emergentes en el panorama digital en rápida evolución.
