Incidentes Asociados
McDonald's enfrenta fuertes críticas tras una impactante falla de seguridad que expuso datos confidenciales de casi 64 millones de solicitantes de empleo. La filtración se produjo debido a una contraseña de administrador predeterminada: "123456".
McDonald's enfrenta fuertes críticas tras una impactante falla de seguridad que expuso datos confidenciales de casi 64 millones de solicitantes de empleo. La filtración se produjo debido a una contraseña de administrador predeterminada: "123456".
Los investigadores de seguridad Ian Carroll y Sam Curry descubrieron la brecha a finales de junio de 2025. Estaban analizando McHire, la plataforma de contratación impulsada por IA de McDonald's (https://www.forbes.com/sites/tonybradley/2025/07/15/mcdonalds-ai-breach-reveals-the-dark-side-of-automated-recruitment/). McHire utiliza un chatbot llamado Olivia para seleccionar candidatos y recopilar información como nombres, correos electrónicos, números de teléfono, turnos elegidos e incluso resultados de pruebas de personalidad.
Los investigadores observaron que la página de inicio de sesión del administrador tenía una opción llamada *"Miembros del equipo Paradox", que hace referencia al creador de Olivia, Paradox.ai. Al escribir "123456" como nombre de usuario y contraseña, obtuvieron acceso inmediato. No se trataba solo de un entorno de prueba, sino de un panel de control en vivo que mostraba datos reales de los candidatos.
Una vez dentro, encontraron una vulnerabilidad llamada referencia directa a objeto insegura (IDOR) en la API interna de la plataforma. Esta vulnerabilidad les permite cambiar los números de identificación para acceder a datos confidenciales. Pueden ver perfiles completos de solicitantes, registros de chat e incluso tokens utilizados para suplantar la identidad de candidatos. La cantidad y la sensibilidad de estos datos generaron serias preocupaciones sobre posibles ataques de phishing, suplantación de identidad y ingeniería social.
McDonald's y Paradox.ai actuaron con rapidez tras la revelación del problema el 30 de junio. El 1 de julio, deshabilitaron las credenciales de inicio de sesión predeterminadas y repararon el endpoint vulnerable. Paradox.ai también anunció que realizaría más comprobaciones de seguridad y aclaró que solo se revisaron los registros de cinco candidatos, y únicamente por los investigadores. No se filtró ningún dato públicamente.
Los expertos afirman que este incidente pone de manifiesto un problema creciente. Las empresas se apresuran a utilizar herramientas de IA sin tomar suficientes medidas de ciberseguridad. *"Incluso los sistemas de IA más sofisticados pueden verse comprometidos por descuidos elementales", afirmó Aditi Gupta, de Black Duck Consulting. La filtración también muestra los riesgos de usar plataformas de terceros (https://economictimes.indiatimes.com/news/international/us/mcdonalds-in-hot-water-after-ai-tool-with-laughably-weak-password-123456-gets-hacked-data-of-64m-job-seekers-exposed-mcdonalds-data-breach-news/articleshow/122406623.cms?from=mdr), especialmente en modelos de franquicia, donde los estándares de seguridad pueden variar considerablemente.
Con el papel fundamental que la IA desempeña en la contratación, este caso sirve como una llamada de atención para que las organizaciones traten las plataformas de reclutamiento con el mismo nivel de seguridad que sus sistemas operativos principales.