AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Protección de datos

**Autoridad alemana exige la retirada de DeepSeek AI de Google Play y App Store por violaciones del RGPD**

admin

### 1. Introducción

En una medida sin precedentes en el ámbito europeo de la protección de datos, la Comisionada de Protección de Datos de Berlín ha solicitado oficialmente a Google y Apple la eliminación inmediata de la aplicación DeepSeek AI de sus respectivas tiendas digitales. El motivo: graves incumplimientos del Reglamento General de Protección de Datos (RGPD). Esta acción pone de manifiesto la creciente presión regulatoria sobre los desarrolladores y proveedores de aplicaciones basadas en inteligencia artificial, especialmente en lo que respecta al tratamiento y protección de datos personales de ciudadanos de la Unión Europea.

### 2. Contexto del Incidente

DeepSeek AI, una app desarrollada por la empresa china DeepSeek, ha ganado popularidad en los últimos meses por su asistente conversacional basado en grandes modelos lingüísticos (LLMs) y funcionalidades de generación de texto. Sin embargo, tras varias denuncias y un análisis exhaustivo por parte de las autoridades alemanas, se han identificado prácticas que contravienen el RGPD, especialmente en lo relativo al consentimiento, la transferencia internacional de datos y la transparencia en el procesamiento de información personal.

La solicitud de retirada se realiza de conformidad con el artículo 58 del RGPD, que otorga competencias a las autoridades de protección de datos para limitar o prohibir el procesamiento cuando se detecten infracciones graves. La decisión afecta a millones de usuarios en la UE, y sienta un precedente relevante para aplicaciones de IA generativa distribuidas desde jurisdicciones extracomunitarias.

### 3. Detalles Técnicos

El análisis técnico realizado por la Comisionada de Berlín, en colaboración con analistas forenses y auditores de ciberseguridad, identificó varias deficiencias críticas:

– **Transferencia internacional de datos**: DeepSeek AI transfiere datos de usuarios europeos a servidores ubicados en China, sin garantías adecuadas ni cláusulas contractuales tipo reconocidas por la Comisión Europea, incumpliendo el capítulo V del RGPD.
– **Consentimiento**: La app no solicita un consentimiento explícito ni granular para el tratamiento de categorías especiales de datos personales, como exige el artículo 9 del RGPD.
– **Falta de transparencia**: La política de privacidad es ambigua, carece de información sobre responsables y encargados del tratamiento, y no detalla los fines exactos ni los periodos de conservación.
– **Exposición a riesgos de seguridad**: Durante la investigación se detectaron llamadas no autorizadas a endpoints API externos, algunos de los cuales carecen de cifrado TLS robusto, abriendo la puerta a ataques Man-in-the-Middle (MITM) y exfiltración de datos sensibles (MITRE ATT&CK: T1040, T1557).
– **Indicadores de Compromiso (IoC)**: Se han identificado dominios asociados (deepseek[.]ai, api.deepseek[.]ai) y patrones de tráfico sospechosos hacia IPs en China y Hong Kong.

Actualmente, no existen exploits públicos conocidos que ataquen específicamente a la aplicación, pero el modelo de arquitectura expone a los usuarios a riesgos de suplantación y pérdida de confidencialidad.

### 4. Impacto y Riesgos

El alcance de la afectación es considerable: se estima que DeepSeek AI cuenta con más de 300.000 descargas activas solo en Alemania. A nivel europeo, la cifra supera el millón de usuarios. Los riesgos asociados incluyen:

– **Pérdida de control sobre datos personales**: Usuarios no pueden ejercer derechos de acceso, rectificación, supresión o portabilidad.
– **Exposición a vigilancia estatal extranjera**: Transferencias a jurisdicciones sin equivalencia en protección de datos (China) pueden derivar en acceso por parte de entidades gubernamentales.
– **Posible incumplimiento de marcos legales sectoriales**: Empresas que deleguen tareas en DeepSeek AI podrían infringir normativas como NIS2 o directrices del ENISA sobre seguridad en IA.

Las posibles sanciones económicas, según el RGPD, podrían alcanzar hasta el 4% del volumen de negocio anual global de la compañía responsable.

### 5. Medidas de Mitigación y Recomendaciones

A la espera de la retirada definitiva de la aplicación, se recomiendan las siguientes acciones:

– **Para empresas y administradores de sistemas**: Inventariar y bloquear la app en dispositivos corporativos mediante políticas MDM. Auditar logs de tráfico en busca de conexiones a dominios sospechosos.
– **Para analistas SOC y pentesters**: Monitorizar eventos relacionados con la transferencia de datos fuera del Espacio Económico Europeo. Actualizar reglas de DLP y SIEM para detectar patrones de exfiltración.
– **Para usuarios particulares**: Desinstalar la aplicación y revocar permisos concedidos. Revisar configuraciones de privacidad en dispositivos móviles.

### 6. Opinión de Expertos

Consultores de privacidad y ciberseguridad, como los del Instituto Fraunhofer, han subrayado que «la falta de transparencia y control real sobre los datos personales en aplicaciones de IA generativa es una amenaza creciente». Desde la Asociación Europea de Ciberseguridad, se advierte que «el caso DeepSeek AI debería servir como llamada de atención para reforzar los procesos de evaluación de impacto (PIA) antes de desplegar soluciones de IA en entornos corporativos».

### 7. Implicaciones para Empresas y Usuarios

Este caso evidencia la urgencia de revisar el cumplimiento normativo en el uso de tecnologías de IA, especialmente para organizaciones que operan en sectores regulados o gestionan datos sensibles. La tendencia del mercado apunta a un endurecimiento del escrutinio sobre aplicaciones desarrolladas fuera de la UE. Además, la inminente entrada en vigor del Reglamento Europeo de IA (AI Act) implicará controles aún más estrictos.

Para los usuarios, el incidente subraya la importancia de informarse sobre el destino y el tratamiento de sus datos antes de instalar aplicaciones, especialmente aquellas que recurren a servicios alojados en países con legislaciones menos garantistas.

### 8. Conclusiones

La exigencia de retirada de DeepSeek AI de los principales marketplaces digitales marca un antes y un después en la gobernanza de la inteligencia artificial y la protección de datos en la UE. Las autoridades refuerzan así el mensaje de «tolerancia cero» frente a prácticas opacas o contrarias al RGPD, y advierten a desarrolladores y proveedores sobre la necesidad de cumplir escrupulosamente la normativa europea, bajo riesgo de sanciones y bloqueo de mercado.

(Fuente: www.bleepingcomputer.com)