Una investigación encontró que una de las bases de datos más importantes de DeepSeek estuvo en riesgo de ser comprometida, por lo que no se descarta que la misma haya sido aprovechada por malos actores para acceder a información sensible sobre la compañía, su modelo de IA y la información privada de los usuarios.
***
- Informe detalla que una de las bases de datos más importantes de DeepSeek estuvo en riesgo
- Investigadores pudieron acceder con facilidad a dicha base de datos, encontrando información sensible sobre la compañía
- Entre otros datos, también había información sobre el modelo de IA, credenciales y solicitudes de usuarios
- Alertan que dicha base de datos pudo haber sido vulnerada por malos actores, dado lo fácil que resultó acceder
- Este hecho se suma a la polémica que gira en torno a DeepSeek
Tras el revuelo que ha generado la llegada al mercado de DeepSeek, empresa china creadora de un modelo de inteligencia artificial altamente eficiente y a muy bajo costo, diversos reportes recientemente publicados apuntan a que dicha empresa tiene importantes brechas en materia de seguridad de los datos, comprometiendo la privacidad de los usuarios y muchos más aspectos.
Brecha de seguridad encontrada en DeepSeek
Los primeros informes sobre las brechas de seguridad los publicó la firma Wiz, quienes afirman que DeepSeek habría dejado expuesta una de sus bases de datos con contenido sensible, en la cual se encuentran registros de sistema, solicitudes de usuarios, e incluso tokens de autenticación de API para usuarios. Al no garantizar la protección de dicha información, se cree que esta pudo haber sido abordada por hackers y malos actores, quienes ahora podrían estar en posesión de data muy sensible.
“Es cierto que se cometen errores, pero este es un error dramático, porque el nivel de esfuerzo es muy bajo y el nivel de acceso que obtuvimos es muy alto”, indicó el director de tecnología de Wiz, Ami Luttwak, en una entrevista para el medio WIRED, alegando que lo ocurrido pone en evidencia que “el servicio no es lo suficientemente maduro como para utilizarse con datos que puedan ser sensibles”.
Según detalló la firma, el grado de exposición de dicha base de datos fue tan notorio que los analistas pudieron identificar a simple vista. “Normalmente, cuando encontramos este tipo de vulnerabilidad, se trata de algún servicio desatendido que nos lleva horas encontrarlo, horas de escaneo”, indicó el director de investigaciones de vulnerabilidades para Wiz, Nir Ohfeld, quien alertó sobre lo fácil que fue hallar la brecha y acceder a la información contenida.
En cuanto a la información contenida, los investigadores indicaron que se trata de “un tipo de base de datos de código abierto que se utiliza habitualmente para el análisis de servidores y que se denomina base de datos ClickHouse… dado que había archivos de registro que contenían las rutas o caminos que habían tomado los usuarios a través de los sistemas de DeepSeek, las indicaciones de los usuarios y otras interacciones con el servicio, y las claves API que habían utilizado para autenticarse“.
A pesar de que buena parte de esta información estaba en chino, no se descarta que parte de la base de datos contenga información en otros idiomas, y no se descarta que malos actores hayan podido utilizar toda esta data para ejecutar código malicioso en otras partes de la infraestructura de la empresa.
Las críticas en torno a DeepSeek
La publicación de los informes sobre esta importante brecha de seguridad se suman a la polémica que ha generado DeepSeek desde que gozó de visibilidad en el mercado, ya que si bien, fue un anuncio bastante importante el lanzamiento del modelo R1, su funcionamiento y evolución está rodeado de cierta controversia.
Recientemente, el gigante del sector informático, Microsoft, inició investigaciones para determinar si DeepSeek podría haber utilizado el modelo de inteligencia artificial ChatGPT para entrenar a sus propios modelos, esto a razón de fuertes sospechas del uso del API de OpenAI durante la elaboración de los productos.
Si bien cualquiera puede registrarse y acceder a la API de OpenAI, los términos de servicio de la compañía estipulan que no se puede usar la salida (output) para entrenar un nuevo modelo de inteligencia artificial.
Al respecto, el zar de las criptomonedas e IA de EE. UU. para la administración Trump, David Sacks, asegura que hay “evidencia sustancial” que la compañía china “destiló” conocimiento de los modelos de IA de OpenAI, lo cual en términos empresariales podría calificar como robo de productos e información sensible.
DeepSeek presentó su nuevo modelo de IA, que sus creadores dijeron se pudo entrenar a una fracción del costo y con muchos menos recursos computacionales de los que utilizan los modelos líderes mundiales. La app se convirtió en una de las más descargadas en Apple Store en los Estados Unidos, destronando a ChatGPT.
Los costos reducidos y la capacidad competitiva de R1 puso de cabezas a las empresas de IA occidentales, desafiando la percepción existente sobre los elevados costos y recursos que se necesitan para el desarrollo de la tecnología. Esto derivó en una fuerte caída en los mercados a inicios de semana, la cual también se hizo sentir en el sector de las criptomonedas y las nuevas tecnologías.
Artículo de Angel Di Matteo / DiarioBitcoin
Imagen de DiarioBitcoin, de libre uso, bajo licencia de dominio público
