NSFocus: DeepSeek AI recibe ataques DDoS “bien planificados”

DeepSeek se enfrenta a una serie de ataques DDoS, según una investigación publicada el viernes por el proveedor de ciberseguridad NSFocus.

La startup de inteligencia artificial DeepSeek ha sido recibida con fervor desde la presentación, el 20 de enero, de su primera generación de grandes modelos lingüísticos, DeepSeek-R1-Zero y DeepSeek-R1. Además de las capacidades de sus modelos, el proveedor llamó la atención por el bajo costo de su entrenamiento. DeepSeek sigue por delante de ChatGPT en la lista de aplicaciones gratuitas de la App Store de Apple una semana después de haber cobrado fuerza.

El 27 de enero, DeepSeek dijo que estaba respondiendo a “ataques maliciosos a gran escala” contra sus servicios, y que limitaría el registro de nuevos usuarios mientras respondía a los ataques. La interrupción duró varios días y sólo recientemente ha vuelto a estar disponible para algunos usuarios.

DeepSeek no especificó la naturaleza de los ataques o los atacantes y no respondió a las peticiones de comentarios de Informa TechTarget.

El viernes, NSFocus informó que su Global Threat Hunting System detectó “3 oleadas de ataques DDoS dirigidos a la dirección IP 1.94.179.165 a las 15:33:31 del 25 de enero de 2025, a las 13:12:44 del 26 de enero de 2025 y a las 18:09:45 del 27 de enero de 2025, respectivamente (GMT+8), que era la dirección resuelta por la interfaz API de DeepSeek (api.deepseek.com)”. El proveedor de ciberseguridad, que ofrece servicios de mitigación DDoS, dijo que la duración media del ataque fue de 35 minutos, y que los adversarios se dirigieron principalmente a DeepSeek a través de ataques de reflexión del Network Time Protocol (NTP) y de reflexión memcached.

Además de la interfaz API de DeepSeek, NSFocus detectó dos oleadas de ataques contra la interfaz del sistema de chat de DeepSeek el 20 de enero –el día en que se publicó DeepSeek-R1– y el 25 de enero. La duración media de los ataques fue de una hora, y los principales métodos de ataque fueron la reflexión NTP y la reflexión del Simple Service Discovery Protocol.

Además, el proveedor descubrió que, cuando se cambió la dirección IP de resolución de DeepSeek el 28 de enero, el atacante “ajustó rápidamente” su estrategia y lanzó una nueva ronda de ataques DDoS contra el nombre de dominio principal, la interfaz API y el sistema de chat. Esto, según los investigadores, refleja una “gran capacidad táctica”.

“Después de que DeepSeek completa el cambio de direcciones de resolución, el atacante ajusta rápidamente la política de ataque y lanza una nueva ronda de ataques DDoS contra el sistema de servicios centrales de DeepSeek”, se lee en la investigación. “Desde la selección de los objetivos del ataque, hasta el control preciso de los tiempos, pasando por el control flexible de la intensidad del ataque, el atacante muestra una profesionalidad extremadamente alta en cada paso del ataque. Este ataque altamente coordinado y preciso sugiere que el incidente no fue accidental, sino probablemente un ciberataque bien planificado y organizado ejecutado por un equipo profesional”.

Las tres principales fuentes de infraestructura de ataque fueron Estados Unidos (20 %), Reino Unido (17 %) y Australia (9 %).

Informa TechTarget se puso en contacto con NSFocus, pero la empresa no había respondido al cierre de esta edición.

Alexander Culafi es redactor jefe de noticias sobre seguridad de la información y presentador de podcasts para Informa TechTarget.