Un simple error que expuso millones de datos de candidatos
El pasado 30 de junio de 2025, los investigadores de ciberseguridad Ian Carroll y Sam Curry descubrieron una grave vulnerabilidad en “Olivia”, el chatbot de contratación de McDonald’s, desarrollado por Paradox.ai y alojado en McHire.com.
Con tan solo dos intentos de inicio de sesión utilizando credenciales comunes (usuario “admin” y contraseña “123456”), lograron acceso de administrador en menos de 30 minutos, exponiendo datos de solicitudes de empleo de hasta 64 millones de personas.
¿Qué información se filtró?
- El problema fue resuelto el mismo día
- Nombres completos
- Correos electrónicos
- Números de teléfono
- Historial de chats entre candidatos y el asistente de IA
Este fallo permitía a los atacantes buscar IDs de candidatos y recuperar conversaciones completas, comprometiendo su privacidad y seguridad.
¿Quién es responsable?
El origen de la vulnerabilidad se encontraba en Paradox.ai, el proveedor del chatbot. McDonald’s emitió un comunicado calificando el incidente de “inaceptable” y aseguró que:
- El problema fue resuelto el mismo día
- Paradox.ai implementó un programa de bug bounty para prevenir fallos similares en el futuro.
Por qué este incidente es tan grave
- Exposición al phishing: los datos filtrados pueden usarse en campañas de suplantación de reclutadores para engañar a candidatos y robar más información o dinero.
- Riesgos en sistemas con IA: muestra la falta de controles básicos de seguridad en herramientas de contratación automatizadas.
- Posibles sanciones regulatorias: gestionar millones de registros implica cumplimiento estricto de normativas como GDPR o CCPA, y esta filtración podría abrir investigaciones.
Lecciones para empresas y candidatos
🔐Para organizaciones
- Implementar MFA en todos los accesos de administración y VPN
- Realizar auditorías periódicas de credenciales y eliminar cuentas inactivas
- Simular ataques mediante Threat Led Penetration Testing (TLPT) para descubrir fallos antes que los ciberdelincuentes
- Implantar programas de bug bounty para soluciones basadas en IA
- Exigir SLA de ciberseguridad a terceros, incluyendo revisiones de código y pruebas de intrusión
🧑💻 Para candidatos
- Desconfía de mensajes de reclutadores que soliciten pagos o datos sensibles
- Usa correos electrónicos distintos para candidaturas laborales
- Habilita doble factor de autenticación en tus cuentas de email y empleo
- Verifica siempre el dominio y remitente de los emails recibidos
- Denuncia cualquier intento de estafa o suplantación
¿Cómo puede ayudarte Apolo Cybersecurity?
En Apolo Cybersecurity ayudamos a tu organización a:
- Realizar TLPT específicos para entornos con IA y chatbots
- Diseñar arquitecturas Zero Trust y gestión segura de credenciales
- Implementar un SOC 24/7 para detección proactiva de amenazas
- Fortalecer la gestión de riesgos de terceros y contratos con proveedores
%402x.svg){kind=icon}