DeepSeek, el controvertido chatbot chino de IA, ya no está disponible para su descarga en Italia e Irlanda. Ambos países retiraron la aplicación de las tiendas de Apple y Google el 29 de enero, acusando a la compañía de evadir preguntas sobre su gestión de datos personales y de generar temores de que el gobierno chino acceda a la información de los usuarios.
Los reguladores están presionando a la empresa para que dé respuestas, y no están siendo muy educados. Los usuarios en Italia que intentaron descargar el chatbot se encontraron con mensajes como "actualmente no disponible en el país o la zona en la que se encuentra" en sus dispositivos Apple.
Los usuarios de Google también recibieron un aviso contundente de "descarga no compatible". Una investigación de Reuters confirmó que DeepSeek había desaparecido de la tienda de Google. Sin embargo, al menos un usuario de Apple aún tenía acceso, según un informe de The Guardian del 29 de enero.
La desaparición de DeepSeek se produce tras su explosivo ascenso como la aplicación gratuita más descargada de la tienda de Apple en Estados Unidos y el Reino Unido. Lanzada la semana pasada, ofrecía un rendimiento de IA comparable al de ChatGPT, pero a un coste mucho menor. Su rápido crecimiento desató el pánico, eliminando más de un billón de dólares del mercado bursátil estadounidense en tan solo un día.
Los reguladores exigen respuestas sobre el almacenamiento y acceso a los datos
El organismo italiano de control de la privacidad, Garante, ha dado a DeepSeek 20 días para explicar qué datos personales recopila, dónde los almacena y si alguno de ellos llega a territorio chino. «Nuestra oficina iniciará una investigación exhaustiva para comprobar si se están cumpliendo las normas del RGPD», declaró Pasquale Stanzione, director de la agencia, a la agencia de noticias italiana ANSA el 29 de enero.
Garante exige detalles específicos: qué datos se recopilan, qué base legal lo permite y qué se está haciendo para proteger a los usuarios. Si la empresa no coopera, Italia podría imponerle severas sanciones en virtud del Reglamento General de Protección de Datos (RGPD) europeo.
La Comisión de Protección de Datos de Irlanda también inició su propia investigación. El informe de The Guardian afirma que han solicitado un desglose detallado de cómo DeepSeek procesa los datos de los ciudadanos irlandeses.
Según se informa, la investigación se centra en si la información de los usuarios se está manejando incorrectamente o se está enviando a China sin las garantías adecuadas.
Las preocupaciones sobre la privacidad han ido en aumento desde que se conoció que la política de privacidad de DeepSeek declara abiertamente que los datos de los usuarios se almacenan en "servidores seguros ubicados en la República Popular China". Mientras tanto, el gobierno del Reino Unido ha adoptado una postura más pasiva.
Las autoridades británicas afirmaron que la decisión de usar la aplicación depende de los ciudadanos. Sin embargo, prometieron actuar con rapidez si surge algún riesgo grave de seguridad.
La ley de inteligencia nacional de China no contribuye a disipar los temores. Según la ley, todas las empresas, organizaciones y ciudadanos chinos deben colaborar con las labores de inteligencia del gobierno. Los críticos creen que esto podría obligar a DeepSeek a entregar datos confidenciales de sus usuarios sin previo aviso.
Wiz Research descubre que la base de datos de DeepSeek está completamente expuesta
Mientras los reguladores se centran en las violaciones de la privacidad, los investigadores de seguridad han descubierto otra pesadilla para DeepSeek: una base de datos expuesta que deja los datos de los usuarios a disposición de cualquier persona en Internet.
Wiz Research investigó la infraestructura digital de DeepSeek y afirma haber encontrado una base de datos ClickHouse de acceso público. Esta base de datos no tenía contraseña, sistema de autenticación ni protección.
"En cuestión de minutos, obtuvimos acceso total a información confidencial", afirmó el equipo de Wiz. La base de datos estaba alojada en oauth2callback.deepseek.com:9000 y dev.deepseek.com:9000, ambas conectadas directamente a los sistemas centrales de DeepSeek.
ClickHouse está diseñado para el procesamiento de datos de alta velocidad, comúnmente utilizado para almacenar registros, historiales de chat y detalles operativos del backend. Sin embargo, dejarlo desprotegido generó una grave amenaza para la seguridad, según el informe de Wiz.
¿Qué tipo de datos encontró Wiz? Montones. La base de datos contenía historiales de chat, secretos de API, datos de operaciones del backend y flujos de registro confidenciales. Ejecutar un simple comando SHOW TABLES; a través de la interfaz web lo reveló todo.
Peor aún, la base de datos expuesta no se limitaba a la navegación web estándar. Los investigadores de Wiz descubrieron la vulnerabilidad al escanear puertos HTTP no estándar (8123 y 9000) que DeepSeek dejó abiertos. Este error permitió al equipo acceder a la base de datos a través del navegador sin ningún problema.
Como si DeepSeek no tuviera ya suficiente, OpenAI lo ha acusado de robo. El gigante estadounidense de la IA afirma que existen pruebas de que DeepSeek podría haber robado su tecnología mediante un método llamado destilación. La destilación consiste en reducir un modelo de IA grande y complejo a una versión más pequeña y eficiente.
"Sabemos que grupos en China están trabajando para replicar nuestros modelos mediante destilación", declaró OpenAI. "Estamos tomando contramedidas enérgicas y colaborando estrechamente con el gobierno estadounidense para proteger nuestra tecnología"
