Los especialistas en ciberseguridad Sam Curry e Ian Carroll han identificado una vulnerabilidad crítica en el sistema de contratación de McDonald’s que podría haber comprometido información personal de más de 64 millones de candidatos a empleos. El fallo de seguridad se localizó en el chatbot de inteligencia artificial Olivia, desarrollado por Paradox.ai para automatizar los procesos de reclutamiento de la cadena de restaurantes.
Descubrimiento de la Vulnerabilidad en el Sistema de Reclutamiento
La investigación surgió cuando los expertos detectaron múltiples quejas de usuarios en Reddit sobre respuestas inadecuadas del chatbot Olivia. Inicialmente, los investigadores planeaban evaluar la resistencia del sistema contra ataques de prompt injection, pero descubrieron una brecha de seguridad mucho más grave.
Durante las pruebas, los especialistas intentaron registrarse como franquiciados de McDonald’s para acceder al sistema backend. En el sitio web McHire.com encontraron un enlace de acceso para empleados de Paradox.ai, que se convirtió en la clave para revelar esta vulnerabilidad masiva.
Fallas Críticas en el Sistema de Autenticación
El aspecto más alarmante de la vulnerabilidad descubierta fue la extrema debilidad del sistema de autenticación. Carroll reportó que para obtener acceso administrativo solo fue necesario utilizar las credenciales predeterminadas «123456/123456» en la página de inicio de sesión, sin autenticación multifactor implementada.
Al acceder al restaurante de prueba de McDonald’s, los investigadores descubrieron que todos los empleados en el sistema eran desarrolladores de Paradox.ai de Vietnam. Esto indicaba que el entorno de pruebas no estaba adecuadamente aislado del sistema de producción, violando principios fundamentales de seguridad informática.
Alcance de la Potencial Filtración de Datos
La segunda vulnerabilidad crítica se encontró en el sistema de gestión de solicitudes de empleo. Los expertos determinaron que simplemente modificando el ID de la solicitud en la URL era posible acceder a datos personales de cualquier candidato, incluyendo:
• Nombres completos de los candidatos
• Direcciones de correo electrónico
• Números telefónicos
• Currículums vitae e información de contacto adicional
Los investigadores se limitaron a verificar solo algunas entradas por razones éticas, pero confirmaron que la vulnerabilidad proporcionaba acceso a datos reales de personas auténticas.
Riesgos para los Usuarios y Consecuencias Potenciales
Aunque la filtración no incluyó información extremadamente sensible, los riesgos para los solicitantes de empleo fueron significativos. Curry enfatizó que los datos comprometidos creaban condiciones ideales para ataques de phishing y fraudes relacionados con nóminas y pagos.
La amenaza más preocupante era la posibilidad de ataques dirigidos contra personas que buscan trabajo activamente o esperan respuestas de empleadores. Estos candidatos son más propensos a confiar en comunicaciones que aparentemente provienen de McDonald’s o están relacionadas con oportunidades laborales.
Respuesta Corporativa y Medidas Adoptadas
Paradox.ai declaró oficialmente que la cuenta de prueba comprometida no había sido utilizada desde 2019 y debería haber sido desactivada. Los representantes confirmaron que nadie además de los investigadores explotó esta vulnerabilidad, y el acceso se limitó a solo siete registros.
McDonald’s trasladó toda la responsabilidad del incidente a Paradox.ai, expresando decepción por la «inaceptable vulnerabilidad en el sistema del proveedor externo». La compañía anunció la corrección inmediata del problema y su intención de continuar exigiendo a los proveedores el cumplimiento de estándares de protección de datos.
Este incidente demuestra la importancia crítica de implementar pruebas exhaustivas de seguridad en sistemas de IA y la necesidad de controles estrictos de acceso a datos personales. Paradox.ai anunció el lanzamiento de un programa de bug bounty para identificar vulnerabilidades futuras, representando un paso positivo hacia el fortalecimiento de la ciberseguridad en plataformas de reclutamiento automatizado.
