El 29 de enero de 2025, investigadores de seguridad de Wiz Research realizaron un hallazgo alarmante: una base de datos de la empresa de inteligencia artificial china DeepSeek estaba completamente expuesta en internet, sin ninguna autenticacion, accesible por cualquier persona en el mundo.
Lo que encontraron no era un archivo trivial. Era una base de datos ClickHouse en los puertos 8123 y 9000 que contenia mas de un millon de filas de informacion extremadamente sensible: historial completo de conversaciones con los modelos de IA, claves de API del backend, logs del sistema y metadatos de infraestructura interna.
El caso se convirtio rapidamente en el incidente de seguridad mas significativo del ecosistema de IA en los ultimos anos — y en una leccion urgente para todas las empresas que usan o desarrollan soluciones de inteligencia artificial.
Contexto: por que DeepSeek estaba en el radar
La semana del incidente, DeepSeek acababa de lanzar su modelo R1, que por primera vez competia directamente con GPT-4 y Claude 3 de Anthropic en benchmarks de razonamiento — y ademas era de codigo abierto. El lanzamiento genero cobertura masiva en medios tecnologicos globales, llevando a la empresa a un nivel de escrutinio que claramente no anticiparon.
Fue precisamente ese escrutinio el que llevo a Wiz Research a examinar la infraestructura expuesta de DeepSeek — y encontrar la base de datos abierta en menos de una hora de investigacion.
Que datos estaban expuestos
El alcance de la exposicion fue documentado por Wiz Research y confirmado por analistas independientes. Los datos comprometidos incluian:
- Historial completo de conversaciones de usuarios con los modelos DeepSeek, incluyendo texto en claro de preguntas y respuestas
- Claves de API del backend — credenciales que podrian usarse para impersonar servicios internos o acceder a otros sistemas conectados
- Logs detallados del sistema con informacion de versiones, errores internos y rutas de archivos
- Metadatos operativos que revelaban detalles de la arquitectura interna de los servicios de IA
- Informacion de usuarios finales, incluyendo identificadores de sesion y timestamps de actividad
Cronologia del incidente
Por que este incidente es diferente a una brecha clasica
Las brechas de datos tradicionales generalmente comprometen bases de datos de usuarios: nombres, correos, contrasenas. El impacto, aunque serio, es relativamente predecible y las organizaciones saben como responder.
La brecha de DeepSeek es distinta en varios aspectos criticos:
1. Los datos expuestos son conversaciones con IA
Los usuarios interactuan con modelos de IA compartiendo informacion que normalmente no escribirian en un formulario web: preguntas sobre proyectos internos, codigo propietario, estrategias empresariales, datos de clientes, dilemas legales. La exposicion de estas conversaciones representa una fuga de inteligencia empresarial de primer nivel.
2. La falla fue de configuracion basica, no de codigo
No hubo un exploit sofisticado. No hubo una vulnerabilidad de zero-day. Una base de datos de produccion estaba simplemente abierta en internet sin contrasena. Esto demuestra que incluso empresas que construyen las herramientas de IA mas avanzadas del mundo pueden fallar en los controles de seguridad mas fundamentales.
3. Las API keys expuestas multiplican el riesgo
En un entorno de microservicios e IA, las API keys son las llaves del reino. Una clave de backend comprometida no solo permite acceso a datos — puede permitir modificar modelos, inyectar respuestas, robar credenciales adicionales o pivotar a otros sistemas conectados.
4. El volumen de datos facilita ataques dirigidos
Con un millon de conversaciones, un atacante puede identificar usuarios especificos de alto valor, reconstruir proyectos confidenciales mencionados en chats, y disenar ataques de phishing extremadamente persuasivos basados en el contexto real de las victimas.
El patron de riesgo que esto expone en toda la industria
Tras el incidente de DeepSeek, investigadores de seguridad comenzaron a examinar la infraestructura expuesta de otras startups de IA — y encontraron patrones similares con alarming frecuencia:
- Bases de datos vectoriales sin autenticacion que almacenan embeddings de documentos corporativos
- APIs de modelos sin rate limiting ni autenticacion expuestas en puertos no estandar
- Pipelines de datos de entrenamiento accesibles sin credenciales
- Dashboards de monitoreo de LLMs con metricas de uso e historial de prompts visibles
La velocidad de crecimiento del ecosistema de IA — donde startups pasan de prototipo a millones de usuarios en semanas — crea una presion enorme sobre los equipos de ingenieria. La seguridad frecuentemente queda atras.
Que debe hacer su empresa ahora
Este incidente define un nuevo conjunto de controles que las organizaciones deben implementar cuando adoptan herramientas o desarrollan sistemas de IA:
Si usan herramientas de IA de terceros
- Inventario de herramientas: Identifique cuales herramientas de IA usa cada equipo y que tipo de datos se comparten con ellas
- Politica de uso aceptable: Defina explicitamente que categorias de datos NO pueden ingresarse en herramientas de IA externas (datos de clientes, codigo propietario, informacion financiera, datos personales)
- Revision de terminos de servicio: Verifique como el proveedor almacena, usa y protege las conversaciones — y bajo que legislacion
- DLP en endpoints: Implemente controles de prevencion de perdida de datos que puedan detectar cuando empleados pegan informacion sensible en aplicaciones de IA
Si desarrollan o despliegan sistemas de IA
- Seguridad en bases de datos vectoriales: Ninguna base de datos que contenga datos de usuarios — incluyendo embeddings y logs de conversaciones — debe estar accesible sin autenticacion
- Gestion de secretos: Las API keys de backends de IA deben rotarse periodicamente y nunca almacenarse en texto plano
- Segmentacion de red: Los servicios de inferencia de modelos no deben exponerse directamente a internet; deben estar detras de un API gateway con autenticacion
- Auditoria de puertos expuestos: Implemente escaneos regulares de superficie de ataque, incluyendo puertos no estandar como 8123, 9000, 6333, 19530 (comunes en infraestructura de IA)
Controles de monitoreo SOC para entornos con IA
- Alertas sobre acceso inusual a bases de datos desde IPs externas o en horarios anomalos
- Deteccion de exfiltracion de volumenes altos de registros desde bases de datos de logs de IA
- Monitoreo de uso de API keys desde locaciones geograficas inusuales
- Inventario actualizado de todos los puertos en escucha en servidores que ejecutan workloads de IA
Conclusion
La brecha de DeepSeek no fue un ataque sofisticado. Fue una falla de configuracion elemental en una empresa que habia captado la atencion del mundo entero. Y eso, precisamente, es lo que la hace tan relevante.
El mensaje para cualquier organizacion es claro: la complejidad y el avance tecnologico de un producto de IA no dicen nada sobre la madurez de seguridad de la empresa que lo construye. La adopcion acelerada de IA — tanto en startups como en empresas establecidas — esta creando una superficie de ataque nueva que muchos equipos de seguridad aun no han inventariado.
En 2026, proteger a su organizacion ya no significa solo asegurar servidores y credenciales de usuarios. Significa tambien entender donde viven los datos que sus herramientas de IA procesan, quien puede accederlos, y que pasaria si quedaran expuestos.
