El auge de DeepSeek despierta el interés de los ciberdelincuentes: estas son las debilidades del ChatGPT chino y las estafas que han proliferado
DeepSeek, el ChatGPT chino de bajo coste, es la IA que más interés ha despertado entre consumidores, empresas, inversores y políticos en las últimas semanas por su alto rendimiento, gratuidad y su código abierto. Pero, como siempre ocurre con cualquier evento masivo, los ciberdelincuentes también han aprovechado la oportunidad para hacer negocio. El pasado 28 de enero el chatbot sufrió un ciberataque que saturó sus servidores. Asimismo, a lo largo de las últimas semanas se han identificado múltiples intentos de estafa vinculados a esta herramienta, incluyendo páginas webs falsas, malware disfrazado de modelos de IA y fraudes financieros.
“Como suele ser habitual con las noticias que tienen gran repercusión, los delincuentes han encontrado en DeepSeek una nueva oportunidad para engañar a los usuarios. Desde campañas de phishing hasta la proliferación de tokens de criptomonedas falsos, los delincuentes han adaptado sus temáticas conforme esta nueva herramienta copaba todos los titulares”, comenta Josep Albors, director de investigación y concienciación de ESET España.
Qué estafas han proliferado
ESET ha detectado sitios web falsos que imitan la página oficial de la compañía, engañando a los usuarios para que descarguen lo que aparenta ser su modelo de inteligencia artificial. Sin embargo, en lugar de obtener el software legítimo, se instala un ejecutable malicioso identificado por ESET como Win32/Packed.NSIS.A. Uno de estos sitios fraudulentos, reportado por un usuario en X (antes Twitter), presenta un diseño similar al de la web original, pero con una diferencia clave: en lugar del botón “Start Now”, el falso utiliza “Download Now” para incitar la descarga del malware. Además, para hacer más creíble la estafa, el archivo malicioso está firmado digitalmente por una entidad denominada “K.My Trading Transport Company Limited”.
Además de estos ataques, se han detectado múltiples dominios falsos que buscan suplantar la identidad de DeepSeek con el objetivo de robar datos personales o dinero. Sin embargo, en realidad buscan robar sus datos o su dinero, promoviendo incluso supuestas acciones de DeepSeek antes de su salida a Bolsa, las cuales no existen. Por otro lado, también se ha registrado la proliferación de falsos tokens de criptomonedas vinculados a DeepSeek en diversas redes blockchain a lo largo de las últimas semanas. Algunos de estos activos han alcanzado valores de mercado de millones de dólares en pocos días, a pesar de que la propia empresa dejó claro a principios de enero que no ha emitido ninguna criptomoneda oficial.
Cuáles son las principales vulnerabilidades de DeepSeek
Palo Alto Networks Unit 42 ha publicado recientemente una investigación que revela que DeepSeek es preocupantemente vulnerable al jailbreaking, una técnica usada para engañar o modificar un modelo de IA y hacer que ignore sus restricciones de seguridad. Por ejemplo, algunos modelos de IA están diseñados para evitar generar contenido peligroso (como instrucciones para actividades ilegales). El "jailbreaking" encuentra formas de saltarse esas reglas.
Por su parte, la Organización de Consumidores y Usuarios (OCU) ha llegado a la conclusión de que DeepSeek no cumple el Reglamento de Protección de Datos (RGPD) de la UE. La OCU argumenta que el tratamiento internacional de datos personales no se hace con las salvaguardas legales. Los responsables del tratamiento de los datos de los usuarios europeos por parte de DeepSeek tienen su sede en la República Popular China y eso les obliga a designar un representante ante la Unión Europea, cosa que no han hecho.
Además, los datos personales se transfieren a China sin las garantías adecuadas. De hecho, la ley china permite el acceso del Estado a los datos sin garantías de transparencia o proporcionalidad. La OCU también señala que el consentimiento no se solicita de manera adecuada o lo que es más relevante, existen dudas sobre las medidas de verificación de edad de los menores, así como del procesamiento de sus datos sin el consentimiento de los padres.
Asimismo, la política de privacidad de DeepSeek no aclara si los datos de los usuarios se utilizan para la elaboración de perfiles o la toma de decisiones automatizadas, tampoco recoge los plazos de conservación de los datos, los métodos que tienen los usuarios para ejercer su derecho a rectificar o eliminar datos ni las vías de contacto.
Cómo mantenerse seguro
ESET recuerda que es fundamental ser escéptico ante mensajes inesperados, especialmente si prometen oportunidades demasiado buenas para ser verdad o intentan generar una sensación de urgencia. Así, una de las principales claves de seguridad es evitar hacer clic en enlaces sospechosos y activar la autenticación de dos factores (2FA) en todas las cuentas en línea para dificultar el acceso a los ciberdelincuentes.
Uno de los principales riesgos está en los mensajes fraudulentos que circulan por correo electrónico y redes sociales, los cuales intentan suplantar la identidad de DeepSeek para incitar a los usuarios a hacer clic en enlaces sospechosos. Estos pueden llevar a webs falsas, descargas de malware o fraudes financieros, como la compra de tokens inexistentes o supuestas inversiones en la empresa.
ESET también destaca que, al interactuar con DeepSeek o cualquier otra herramienta de IA, es importante evitar compartir información sensible, como nombres, direcciones de correo electrónico o datos corporativos. Además, "implementar un software de seguridad con protección multinivel en todos los dispositivos ayudará a prevenir amenazas y garantizar una experiencia digital más segura", añade la compañía de ciberseguridad.