DeepSeek bajo la lupa: ¿merece la pena correr el riesgo en cuanto a privacidad y seguridad?

La IA de DeepSeek está en boca de todos. Está arrasando en las tiendas de aplicaciones y dejando a muchos con la boca abierta por lo que es capaz de hacer. Y sí, aquí encaja bien eso de “un gran poder conlleva una gran responsabilidad”. 

Lo cierto es que el boom de DeepSeek ha despertado más de una alarma: expertos en ciberseguridad, gobiernos y empresas de todo el mundo están empezando a preocuparse ante los posibles riesgos para la privacidad y fallos de seguridad que podrían esconderse detrás de tanta potencia. 

De la emoción a la sospecha

Piénsalo así: el fenómeno DeepSeek es como un vídeo viral que explota en redes. Al principio es todo emoción, todo el mundo habla de ello… pero enseguida empieza la pregunta incómoda: “¿Qué hay realmente detrás de todo esto?”. 

En ciberseguridad, la defensa en profundidad es lo mínimo. Pero DeepSeek parece haberse saltado esa parte, queriendo o sin querer. Es como construir una casa y olvidarse de ponerle cerraduras a las puertas o pestillos a las ventanas. 

En este análisis, vamos a meternos de lleno en cómo maneja DeepSeek la privacidad y la seguridad: revisaremos sus puntos débiles, cómo recoge y usa los datos, y nos preguntaremos si todo este boom justifica lo que puedes perder en términos de privacidad y control. ¿De verdad compensa? ¿O estamos ante otra moda tecnológica con más brillo que fondo, dejando a los usuarios vendidos frente a los riesgos? 

Así que ponte cómodo, que vamos a desmontar el fenómeno DeepSeek y a separar el hype de los peligros reales para saber si esta IA es tan revolucionaria como parece… o si esconde un precio que no todos están dispuestos a pagar. 

Problemas de ciberseguridad y privacidad en DeepSeek: ¿de verdad hay motivos para preocuparse? 

Vamos a ser sinceros: cada vez que aparece un nuevo servicio innovador al que le va bien, no suele tardar en surgir una versión china con aspiraciones de ir más allá del original. Y como era de esperar, DeepSeek no ha pasado desapercibida para la comunidad de ciberseguridad. Nada más salir al escenario internacional, DeepSeek sufrió ciberataques a gran escala, dejando al descubierto debilidades en su infraestructura de seguridad. Y sí, no pilla a nadie por sorpresa. 

Bases de datos expuestas y descuidos en seguridad

Los expertos en seguridad no tardaron en encontrar bases de datos sin protección, un fallo bastante serio que dejó datos de usuarios expuestos y, además, en texto plano.

Según los investigadores de Wiz, DeepSeek configuró mal una base de datos crítica, sin ninguna autenticación. Esta estaba disponible a través de puertos abiertos (8123 y 9000) y se podía consultar fácilmente con comandos SQL. ¿El resultado? Más de un millón de registros expuestos, entre ellos: 

• Historiales de chat en texto plano 
• Claves API 
• Información técnica de su infraestructura de backend 

Vamos, como dejar la puerta de tu casa abierta de par en par con toda la documentación personal encima de la mesa. Un escenario perfecto para que cualquiera entre y haga de las suyas. Pero no acaba ahí. 

Preocupaciones sobre la privacidad y lagunas normativas

DeepSeek también arrastra serios problemas de privacidad. El más gordo: no cumple con el RGPD europeo. Y lo preocupante es que ni lo menciona. Su política de privacidad admite, sin tapujos, una recogida masiva de datos: historiales de chat (como otros LLM), información del dispositivo y patrones de pulsación de teclas, todo almacenado en servidores en China. 

Enseguida te cuento con detalle qué implicaciones tiene todo esto para tu privacidad digital. 

Lo que esconde la política de privacidad de DeepSeek 

La privacidad es algo serio. Y si te interesa saber cómo trata DeepSeek tus datos, lo mejor es echar un buen vistazo a su política de privacidad. Porque ahí, entre líneas, se descubre mucho más de lo que parece. 

Tal y como ocurre cuando se analiza un ciberataque para entender qué ha fallado, revisar esta política nos deja claro hasta dónde llega la recogida de información: direcciones IP, registros de chat, detalles del dispositivo y hasta seguimiento de tus pulsaciones de teclado. 

¿El objetivo? Según dicen, mejorar la IA y personalizar la experiencia. Pero, como pasa tantas veces, nadie explica muy bien para qué se usan esos datos realmente.

La biometría, una capa oculta de identificación

Y aquí entra un giro digno de película: la biometría, ese “James Bond” de la autenticación. Pero no te creas que vamos a hablar de huellas dactilares o escáneres de iris. Aquí el giro viene por otro lado. 

Aunque no lo parezca, la forma en la que tecleas (la velocidad, el ritmo, cuánto tiempo mantienes pulsada cada tecla) puede convertirse en una especie de huella digital única. Sí, has leído bien: algo tan inocente como escribir puede identificarte y romper el anonimato que pensabas que tenías, incluso usando una VPN. 

¿El fin del verdadero anonimato?

En teoría, este tipo de biometría se usa para mejorar tu experiencia de usuario, personalizar respuestas o prevenir fraudes. Pero siendo realistas, una recogida tan agresiva de datos acaba dejando tu privacidad por los suelos. DeepSeek, o quien tenga acceso a esa información, podría saber quién eres solo por cómo escribes. 

Y no lo olvides: si no estás pagando por el producto, probablemente el producto seas tú. 

Entonces, ¿es seguro usar DeepSeek?

Sí, si no te importa tu privacidad. Así de simple. La realidad es que a mucha gente le da igual cómo se usan sus datos mientras la IA funcione bien.  

Pero si lo que estás poniendo en juego son datos confidenciales de tu empresa, de tu equipo o de tu familia, igual deberías pensártelo dos veces. La privacidad no es solo una decisión personal, es una responsabilidad colectiva. Y en el caso de las empresas, esta falta de control sobre la gobernanza de datos es una señal de alarma. A menos que tengas un caso concreto donde eso no importe demasiado, lo más sensato sería evitar la versión online de DeepSeek. 

Una alternativa: ejecutar DeepSeek localmente

Ahora bien, hay una alternativa mucho más interesante: DeepSeek es de código abierto. Esto significa que puedes descargarlo y ejecutarlo en tu propia infraestructura, con lo cual tú decides dónde van tus datos y cómo se usan. Tienes el control total. 

Y para rematar, he preguntado a DeepSeek por su política de privacidad y su postura sobre el cumplimiento del RGPD. La respuesta fue clara: no se hacen responsables de tales retos. 

Ahora bien, por simple curiosidad, decidí cambiar mi consulta y copié la Política de Privacidad de DeepSeek que está publicada en su web. Y, sorpresa: la respuesta fue diferente.

No voy a decir que fuera falsa, pero sí bastante vaga. Y faltaba algo importante: transparencia. 

Respuesta global: Prohibiciones, investigaciones y una buena dosis de precaución 

El paso de DeepSeek por el enrevesado mundo de la Ley de IA de la UE se está convirtiendo en una auténtica montaña rusa. Aquí te cuento cómo este gigante chino de la inteligencia artificial podría meterse de lleno en el punto de mira de la UE: 

Problemas con el cumplimiento 

El modelo R1 de DeepSeek ha sorprendido a medio mundo casi tan rápido como una IA genera memes de gatos. Pero su política de privacidad cumple con el RGPD lo mismo que una galleta de la fortuna. Los datos se almacenan en China, ni rastro de menciones a la normativa europea, y el tema empieza a oler a problema.

El caso de Italia

La autoridad italiana de protección de datos, Garante, no se anduvo con rodeos: bloqueó el uso de DeepSeek casi de inmediato. Y ojo, porque otros países de la UE ya están valorando hacer lo mismo. 

¿Código abierto… o un “ábrete, Sésamo” con truco? 

DeepSeek podría intentar aprovechar la “laguna” del código abierto en la nueva Ley de IA, pero su nivel de transparencia recuerda más a una sociedad secreta que a un proyecto abierto de verdad. Ten muy en cuenta esto: usar un modelo vía API, como hace mucha gente, implica todos los riesgos de privacidad y exposición que ya hemos comentado. Pero si ejecutas ese mismo modelo en tu propia infraestructura, la cosa cambia: tú tienes el control. 

Por ejemplo, Microsoft Azure AI ofrece DeepSeek como uno más de sus modelos de código abierto, sin compartir ningún dato con la empresa china que lo desarrolló. 

El pulso con la Ley de IA de la UE 

Aun así, hay margen para protegernos frente a modelos como DeepSeek. Y es que el juego que plantea este modelo con la Ley de IA de la UE es más complicado que un ajedrez en cinco dimensiones. La UE se está poniendo seria y lleva tiempo trabajando para prohibir ciertas prácticas que DeepSeek, según lo que se sabe, no cumple en absoluto: 

• Manipulación o engaño dañino con IA 
• Explotación de vulnerabilidades 
• Puntuaciones sociales  
• Predicciones de conducta delictiva individual 
• Uso masivo de datos sin consentimiento (de internet o cámaras de seguridad) para crear bases de datos biométricos 
• Reconocimiento de emociones en colegios o en el trabajo 
• Categorización biométrica por características protegidas 
• Identificación biométrica remota, en tiempo real, con fines policiales en espacios públicos 

---

Protégete de las ciberamenazas con IA con el Security Awareness Service de Hornetsecurity 

Los problemas de privacidad y seguridad que plantea DeepSeek dejan claro algo importante: las ciberamenazas basadas en inteligencia artificial no paran de crecer. Los ciberdelincuentes no se quedan quietos, mejoran sus técnicas constantemente, y por eso la concienciación en seguridad es más importante que nunca. 

Con el Security Awareness Service de Hornetsecurity, puedes formar a tu equipo para que sepa identificar y defenderse ante ataques de phishing, trampas de ingeniería social y amenazas más sofisticadas que utilizan IA. 

No te quedes atrás. Da un paso al frente y refuerza tu estrategia de ciberseguridad. Solicita una demo y empieza a proteger tu organización desde dentro. 

---

Conclusión: ¿Deberías usar DeepSeek? Valorando pros y contras 

DeepSeek ha ganado bastante fama, especialmente en ciertos rincones menos recomendables de internet, en parte gracias a su facilidad para ser “jailbreakeado” (sí, ese momento en el que puedes notar un poco de sarcasmo). Según pruebas realizadas por Qualys, Deepseek falló en más de la mitad de los test de Jailbreak, lo que deja claro que su sistema de moderación de contenidos es más bien flojito. 

¿Y por qué importa esto? Porque hacerle Jailbreak a un modelo permite saltarse sus filtros de seguridad, lo que puede llevar a que genere contenido tóxico, inexacto o directamente ilegal.  

En el caso de DeepSeek-R1, se detectaron respuestas con sesgos políticos, instrucciones para realizar actividades ilegales y otros ejemplos que no deberían salir de un modelo responsable.

La lección más importante

Todo esto nos recuerda algo importante: la línea entre una IA útil y una peligrosa puede ser muy fina, sobre todo si no hay control ni transparencia. Como con cualquier tecnología potente, hay que saber dónde está el límite y cuáles son los riesgos antes de lanzarse a usarla. 

DeepSeek debería servir como ejemplo de lo que pasa cuando no se pone atención a la privacidad ni a la seguridad desde el principio. Igual que aplicamos “listas de permitidos” en los filtros de correo para asegurarnos de que los mensajes seguros no acaben en la bandeja de spam, deberíamos tener la opción de elegir modelos de IA que prioricen la protección de nuestros datos y nuestra privacidad.