WASHINGTON (AP) — El sitio web de la empresa china de inteligencia artificial DeepSeek, cuyo chatbot se convirtió en la aplicación más descargada en Estados Unidos, contiene código informático que podría enviar información de inicio de sesión de algunos usuarios a una empresa de telecomunicaciones estatal china que tiene prohibido operar en Estados Unidos, según investigadores de seguridad.
La página de inicio de sesión del chatbot de DeepSeek contiene un script informático muy ofuscado que, al ser descifrado, muestra conexiones con la infraestructura informática propiedad de China Mobile, una empresa de telecomunicaciones estatal. El código parece ser parte del proceso de creación de cuentas e inicio de sesión de usuario para DeepSeek.
En su política de privacidad, DeepSeek reconoció almacenar datos en servidores dentro de la República Popular China. Sin embargo, su chatbot parece estar más directamente vinculado al Estado chino de lo que se sabía a través del enlace revelado por los investigadores con China Mobile. Estados Unidos ha afirmado que existen vínculos estrechos entre China Mobile y el Ejército chino como justificación para imponer sanciones limitadas a la empresa. DeepSeek y China Mobile no respondieron a los correos electrónicos solicitando comentarios.
El crecimiento de los servicios digitales controlados por China preocupa a los funcionarios de seguridad nacional de Estados Unidos. El año pasado, los legisladores votaron para obligar a la empresa matriz china de la popular aplicación de videos TikTok a desinvertir o enfrentar una prohibición nacional, aunque la aplicación recibió desde entonces un aplazamiento de 75 días del presidente Donald Trump, quien espera negociar una venta.
El código que vincula a DeepSeek con uno de los principales proveedores de telefonía móvil de China fue descubierto por Feroot Security, una empresa canadiense de ciberseguridad, que compartió sus hallazgos con The Associated Press. La AP llevó los hallazgos de Feroot a un segundo grupo de expertos en informática, quienes confirmaron de manera independiente que el código de China Mobile está presente. Ni Feroot ni los otros investigadores observaron la transferencia de datos a China Mobile al probar los inicios de sesión en América del Norte, pero no pudieron descartar que los datos de algunos usuarios se estuvieran transfiriendo a la empresa de telecomunicaciones china.
El análisis solo se aplica a la versión web de DeepSeek. No analizaron la versión móvil, una de las piezas de software más descargadas tanto en las tiendas de aplicaciones de Apple como de Google.
En 2019, la Comisión Federal de Comunicaciones negó por unanimidad el permiso a China Mobile para operar en Estados Unidos por cuestiones de seguridad nacional “sustanciales” sobre los vínculos entre la empresa y el Estado chino. En 2021, la administración Biden también emitió sanciones que limitan la capacidad de los estadounidenses para invertir en China Mobile después de que el Pentágono la vinculó con el Ejército chino.
“Es asombroso que estemos permitiendo sin saberlo que China vigile a los estadounidenses y no estemos haciendo nada al respecto”, dijo Ivan Tsarynny, CEO de Feroot.
“Es difícil creer que algo como esto fuera accidental. Hay tantas cosas inusuales en esto. ¿Ya sabes ese dicho ‘Donde hay humo, hay fuego’? En este caso, hay mucho humo”, agregó Tsarynny.
Stewart Baker, abogado y consultor en Washington, D.C., quien anteriormente se desempeñó como alto funcionario en el Departamento de Seguridad Nacional y la Agencia de Seguridad Nacional, dijo que DeepSeek “plantea todas las preocupaciones de TikTok pero estás hablando de información que es muy probable que sea de mayor significado nacional y personal que cualquier cosa que la gente haga en TikTok”, una de las redes sociales más populares del mundo.
Los usuarios están introduciendo datos sensibles en sistemas de inteligencia artificial generativa, desde información confidencial de negocios hasta detalles altamente personales sobre ellos mismos. Las personas están utilizando sistemas de IA generativa para corrección ortográfica, investigación e incluso consultas y conversaciones muy personales. Los riesgos de seguridad de datos de dicha tecnología se magnifican cuando la plataforma es propiedad de un adversario geopolítico y podría representar una mina de oro de inteligencia para un país, advierten los expertos.
“Las implicaciones de esto son significativamente mayores porque podría quedar expuesta información personal y de propiedad. Es como TikTok pero a una escala mucho mayor y con más precisión. No solo se trata de compartir videos de entretenimiento. Se trata de compartir consultas e información que podría incluir información empresarial altamente personal y sensible”, señaló Tsarynny, de Feroot.
Feroot, que se especializa en identificar amenazas en la web, identificó código informático que se descarga y se activa cuando un usuario inicia sesión en DeepSeek. Según el análisis de la empresa, el código parece capturar información detallada sobre el dispositivo desde el cual un usuario inicia sesión, un proceso conocido como fingerprinting. Estas técnicas son ampliamente utilizadas por empresas tecnológicas de todo el mundo para seguridad, verificación y publicidad enfocada.
El análisis de la empresa del código determinó que había enlaces en ese código que apuntaban a sistemas informáticos de autenticación y gestión de identidad de China Mobile, lo que significa que podría ser parte del proceso de inicio de sesión para algunos usuarios que acceden a DeepSeek.
La AP consultó a dos expertos académicos en ciberseguridad, Joel Reardon de la Universidad de Calgary y Serge Egelman de la Universidad de California, Berkeley, para verificar los hallazgos de Feroot. En su análisis independiente del código de DeepSeek, confirmaron que había enlaces entre el sistema de inicio de sesión del chatbot y China Mobile.
“Está claro que China Mobile está de alguna manera involucrada en el registro para DeepSeek”, señaló Reardon. No vio datos siendo transferidos en sus pruebas, pero concluyó que es probable que se esté activando para algunos usuarios o en algunos métodos de inicio de sesión.
___
Esta historia fue traducida del inglés por un editor de AP con la ayuda de una herramienta de inteligencia artificial generativa.