AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Fuga de datos en DeepSeek expone más de un millón de logs sensibles por fallo en ClickHouse

admin

Introducción

A comienzos de enero de 2025, un equipo de investigadores de Wiz Research detectó una grave fuga de datos en DeepSeek, una empresa china líder en inteligencia artificial. El incidente dejó expuestos más de un millón de registros de logs sensibles, lo que ha generado preocupación en la comunidad de ciberseguridad internacional, especialmente por el alcance y criticidad de la información comprometida. El hallazgo pone de manifiesto los riesgos asociados a la configuración inadecuada de bases de datos en la nube y subraya la necesidad de estrategias de protección robustas, especialmente en sectores tecnológicos de rápido crecimiento como el de la IA.

Contexto del Incidente o Vulnerabilidad

DeepSeek, reconocida por su desarrollo de modelos de lenguaje y soluciones basadas en inteligencia artificial, mantenía una instancia de base de datos ClickHouse expuesta a Internet sin autenticación ni restricciones de acceso. El equipo de Wiz Research, dentro de su actividad de threat hunting, identificó el recurso vulnerable tras un escaneo sistemático de endpoints accesibles públicamente. La base de datos contenía más de un millón de flujos de logs, muchos de ellos con información potencialmente sensible sobre peticiones internas, trazas de usuarios, y posiblemente datos que podrían facilitar movimientos laterales o escaladas de privilegios.

Detalles Técnicos

La base de datos afectada era una instancia de ClickHouse, un sistema de gestión de bases de datos columnar ampliamente utilizado para análisis en tiempo real y almacenamiento de grandes volúmenes de logs y métricas. En este caso, la instancia carecía de medidas básicas de hardening: no exigía autenticación y aceptaba conexiones desde cualquier dirección IP.

El vector de ataque primario fue, por tanto, la exposición de servicios en la nube sin protección, una táctica bien documentada en el framework MITRE ATT&CK (T1190 – Exploit Public-Facing Application). Un atacante podía acceder a la instancia y ejecutar cualquier tipo de operación sobre la base de datos, incluyendo SELECT, INSERT, DROP y ALTER, dado que tenía privilegios de administrador.

Entre los Indicadores de Compromiso (IoC) relevantes identificados se encuentran:
– Endpoints de ClickHouse expuestos en rangos IP asociados a DeepSeek.
– Logs de acceso anómalos fuera de los rangos IP internos habituales.
– Consultas SELECT masivas no correlacionadas con patrones operativos legítimos.

Hasta el momento, no se han reportado exploits públicos específicos para esta instancia, pero herramientas como Metasploit podrían ser fácilmente adaptadas para automatizar la explotación de servicios ClickHouse expuestos.

Impacto y Riesgos

El principal riesgo derivado de este incidente reside en la posible filtración de datos sensibles, como identificadores de usuario, tokens de sesión, direcciones IP, rutas de acceso a sistemas internos y detalles de llamadas a APIs internas. Dada la naturaleza de DeepSeek como proveedor de soluciones de IA, el valor estratégico de estos datos es significativo, tanto para la competencia como para actores de amenazas orientados al ciberespionaje.

Se estima que la base de datos contenía más de 1.000.000 de flujos de logs, con registros que podrían remontarse a varios meses de actividad. El acceso total a la base de datos también abría la puerta a ataques de denegación de servicio internos, manipulación de datos y potencial despliegue de cargas maliciosas a través de la infraestructura de la empresa.

En el contexto regulatorio, DeepSeek podría enfrentarse a sanciones bajo las normativas de protección de datos como la GDPR (si se procesasen datos de ciudadanos europeos) o la reciente directiva NIS2, que endurece los requisitos de ciberseguridad para proveedores de servicios esenciales y empresas tecnológicas en la Unión Europea.

Medidas de Mitigación y Recomendaciones

– Revisión inmediata y cierre del acceso público a recursos críticos en la nube.
– Configuración de autenticación robusta y restricción de IPs permitidas en ClickHouse y otras bases de datos.
– Implementación de sistemas de detección de accesos anómalos (SIEM) y alertas automatizadas para conexiones no autorizadas.
– Auditoría periódica de la exposición de recursos en Internet, utilizando herramientas como Shodan, Censys o escaneos internos.
– Actualización y hardening de instancias de ClickHouse, aplicando los últimos parches de seguridad y deshabilitando funciones innecesarias.
– Formación y concienciación continua del personal técnico sobre mejores prácticas de seguridad cloud.

Opinión de Expertos

Varios expertos del sector, incluyendo CISOs y analistas de amenazas, han señalado que este tipo de incidentes son cada vez más frecuentes a medida que la adopción de tecnologías cloud y bases de datos no relacionales crece. “La gestión de la superficie de exposición es un reto en infraestructuras dinámicas. Un simple error de configuración puede tener consecuencias catastróficas”, comenta un responsable de seguridad de una multinacional tecnológica. Además, se destaca el interés creciente de APTs y grupos de ciberespionaje chinos en recolectar inteligencia sobre empresas rivales, usando técnicas similares.

Implicaciones para Empresas y Usuarios

Para las empresas, el incidente refuerza la necesidad de incorporar revisiones de configuración automatizadas y políticas de Zero Trust en el acceso a recursos críticos. Los administradores de sistemas y responsables de seguridad deben priorizar el monitoreo y la respuesta temprana ante exposiciones accidentales, especialmente en entornos de desarrollo y pruebas.

Los usuarios finales pueden verse afectados si sus datos personales o credenciales han sido expuestos, aunque la naturaleza precisa de la información filtrada no ha sido detallada. En todo caso, el incidente remarca la importancia de la transparencia y la notificación temprana ante brechas de seguridad.

Conclusiones

La fuga de datos en DeepSeek a través de una instancia ClickHouse expuesta evidencia una de las amenazas más persistentes en el actual ecosistema cloud: la configuración insegura de recursos críticos. Las organizaciones deben reforzar sus procesos de revisión, adoptar herramientas de detección proactiva y promover una cultura de seguridad orientada al detalle técnico. Solo así podrán mitigar el impacto de incidentes que, como este, pueden tener ramificaciones legales, económicas y reputacionales de gran alcance.

(Fuente: feeds.feedburner.com)