DeepSeek AI culpa a un ciberataque por las interrupciones al revelar fallas de seguridad
La empresa china de inteligencia artificial DeepSeek ha atribuido las recientes interrupciones en el registro a un ciberataque, justo cuando los investigadores de seguridad están descubriendo graves vulnerabilidades en su modelo de inteligencia artificial R1. La empresa, que se ha posicionado como un competidor rentable de ChatGPT de OpenAI y Gemini de Google, afirmó que los ataques maliciosos a gran escala a sus servidores la obligaron a limitar temporalmente los nuevos registros. Los usuarios existentes no se vieron afectados por las interrupciones, pero DeepSeek aún no ha proporcionado más detalles sobre la naturaleza del ataque.
Si bien DeepSeek no confirmó explícitamente el tipo de ciberataque al que se enfrentó, los expertos en ciberseguridad sospechan que se trata de un ataque de denegación de servicio distribuido (DDoS), en el que los piratas informáticos sobrecargan un sistema con tráfico para dejarlo indisponible. Para aumentar las crecientes preocupaciones de seguridad, DeepSeek también emitió una advertencia sobre cuentas fraudulentas en las redes sociales que se hacen pasar por la empresa, lo que sugiere un aumento de la actividad engañosa en torno a su marca.
Table of Contents
Investigadores descubren importantes vulnerabilidades de seguridad
Más allá del ciberataque, los investigadores de seguridad han comenzado a examinar la postura de seguridad de DeepSeek R1 y los resultados son preocupantes. La firma de inteligencia de amenazas Kela informó que su equipo rojo logró desbloquear el modelo de IA, eludiendo las medidas de seguridad diseñadas para evitar que genere contenido dañino. Al explotar estas debilidades, los investigadores de Kela lograron que el chatbot creara ransomware, fabricara información engañosa y generara instrucciones paso a paso para fabricar toxinas y explosivos.
Se descubrió que DeepSeek R1 era vulnerable a varias técnicas de jailbreak conocidas que ya se habían aplicado en otros modelos de IA como ChatGPT. Entre ellas se encuentran Evil Jailbreak, que engaña a una IA para que adopte la personalidad de un confidente malévolo, y Leo jailbreak, que ordena al modelo que actúe sin restricciones éticas o legales. DeepSeek R1 no superó ambas pruebas, lo que lo hace significativamente más fácil de manipular en comparación con sus contrapartes occidentales.
El modelo de IA produce información poco fiable y engañosa
Quizás aún más preocupante es que el equipo rojo de Kela intentó realizar una prueba de ingeniería social al pedirle al chatbot que compilara una tabla con detalles privados sobre diez empleados de alto rango de OpenAI, incluidas direcciones de correo electrónico, números de teléfono e información sobre salarios. Mientras que ChatGPT de OpenAI se negó a cumplir con la solicitud, el chatbot de DeepSeek generó lo que parecían ser datos inventados pero estructurados de manera convincente. Los resultados plantean serias dudas sobre la confiabilidad del modelo, ya que estaba dispuesto a generar contenido no verificado y engañoso en lugar de rechazar directamente la solicitud.
Los investigadores de Kela advirtieron que la tendencia de DeepSeek a generar información inexacta socava su credibilidad. Los usuarios que confían en la IA para obtener datos veraces pueden recibir información errónea sin saberlo, lo que hace que la plataforma sea menos confiable que sus competidores.
Los riesgos para la privacidad y la protección de datos son una señal de alerta
Además de las vulnerabilidades de seguridad, el ascenso de DeepSeek también ha suscitado preocupaciones sobre la privacidad y la protección de datos, en particular en el contexto del creciente escrutinio de las empresas tecnológicas chinas. En un momento en que Estados Unidos está considerando prohibir TikTok debido a los riesgos para la seguridad nacional, la plataforma de inteligencia artificial de DeepSeek está generando preocupaciones similares sobre la propiedad de los datos y las leyes de privacidad.
Jennifer Mahoney, directora de prácticas de asesoramiento en Optiv, especializada en gobernanza de datos y privacidad, destacó la importancia de cuestionar cómo las plataformas de IA generativa obtienen y procesan los datos. Advirtió que los usuarios deben tener en cuenta quién controla los modelos de IA, cómo se obtuvieron los datos de entrenamiento y si se siguieron las pautas éticas. También señaló que los distintos países tienen distintas leyes de privacidad, por lo que es fundamental que los usuarios comprendan cómo se puede acceder a sus datos y cómo se pueden utilizar cuando interactúan con servicios de IA extranjeros.
DeepSeek se enfrenta a un escrutinio cada vez mayor
La creciente popularidad de DeepSeek ha puesto a DeepSeek bajo un intenso escrutinio tanto por parte de investigadores de ciberseguridad como de autoridades regulatorias. Si bien sus modelos de IA pueden ofrecer un rendimiento y una rentabilidad impresionantes, las fallas de seguridad evidentes, la susceptibilidad a la manipulación y los posibles riesgos para la privacidad resaltan la necesidad urgente de contar con salvaguardas más sólidas. A medida que la IA continúa dando forma al futuro de la tecnología, garantizar medidas de seguridad sólidas y prácticas éticas en materia de datos será crucial para mantener la confianza en estos sistemas.
