Un error de seguridad básico en el sistema de contratación de McDonald’s, en la plataforma “McHire”, expuso la información personal de hasta 64 millones de personas que aplicaron a empleos en la cadena de comida rápida. ¿La razón? El sistema de inteligencia artificial encargado del proceso, el chatbot “Olivia”, tenía como contraseña de administrador “123456”.
🔑Falla de seguridad en McDonald’s, ¿qué pasó?
Para aplicar a un empleo en McDonald’s hoy en día, millones de personas deben interactuar con Olivia, un chatbot de inteligencia artificial diseñado por la empresa Paradox.ai. Esta asistente automatizada recopila información, dirige a pruebas de personalidad y decide si el candidato avanza o no.
Pero investigadores de ciberseguridad descubrieron que el sistema que gestiona a Olivia estaba protegido con una de las contraseñas más débiles posibles: “123456”. En tan solo 30 minutos, lograron acceder al sistema McHire.com, utilizado por las franquicias de McDonald’s.
Según Wired, los investigadores Ian Carroll y Sam Curry accedieron a una cuenta de prueba de Paradox.ai sin autenticación de múltiples factores. Desde ahí, identificaron una vulnerabilidad que les permitió explorar IDs de aplicación y visualizar nombres completos, correos electrónicos, números de teléfono y registros de chats con Olivia.
Aunque Paradox.ai asegura que solo se accedieron a siete registros fueron y que cinco contenían información personal, la base de datos tenía potencialmente más de 64 millones de entradas.
Vea también: “A nadie le importa”: Trump sobre el caso Epstein; crecen las críticas
👉 ¿Por qué importa?
Aunque no se filtraron datos financieros, Carroll y Curry advirtieron que la información era suficiente para organizar estafas dirigidas, como correos falsos de “reclutadores” pidiendo datos bancarios para depósitos de nómina.
También alertaron que saber que alguien buscaba trabajo en McDonald’s, o que fue rechazado, podría ser usado para manipulación o chantaje en redes sociales.
“Si alguien hubiera explotado esto, el riesgo de phishing (a técnica de engaño digital usada por ciberdelincuentes para robar información personal) habría sido masivo”, dijo Curry.
Ambas compañías confirmaron la brecha. Paradox.ai reconoció que la cuenta vulnerable había estado activa desde 2019 y nunca fue desactivada. Como respuesta, lanzaron un programa de recompensas por errores para evitar futuras filtraciones.
Este caso de McDonald’s reaviva el debate sobre la seguridad, ética y transparencia en el uso de algoritmos para filtrar aspirantes a puestos en grandes compañías.
Le puede interesar: Trabajar hasta los 70: el cambio en Dinamarca que enfurece a miles de personas
🔑¿Cómo tener una contraseña segura? Acá hay unos consejos
- Use al menos 12 caracteres, combinando letras mayúsculas, minúsculas, números y símbolos.
- Evite palabras comunes o personales, como su nombre, fecha de nacimiento o “123456”.
- No repita contraseñas entre diferentes cuentas: si una se filtra, el resto queda vulnerable.
- Active la verificación en dos pasos (2FA) siempre que sea posible, como capa extra de seguridad.
- Use un gestor de contraseñas confiable para generar y guardar claves complejas sin tener que memorizarlas.
👀🌎📄 ¿Ya se enteró de las últimas noticias en el mundo? Invitamos a verlas en El Espectador.
🌏📰🗽 El Espectador, comprometido con ofrecer la mejor experiencia a sus lectores, ha forjado una alianza estratégica con The New York Times con el 30 % de descuento.
Este plan ofrece una experiencia informativa completa, combinando el mejor periodismo colombiano con la cobertura internacional de The New York Times. No pierda la oportunidad de acceder a todos estos beneficios y más. ¡Suscríbase aquí al plan superprémium de El Espectador hoy y viva el periodismo desde una perspectiva global!
📧 📬 🌍 Si le interesa recibir un resumen semanal de las noticias y análisis de la sección Internacional de El Espectador, puede ingresar a nuestro portafolio de newsletters, buscar “No es el fin del mundo” e inscribirse a nuestro boletín. Si desea contactar al equipo, puede hacerlo escribiendo a mmedina@elespectador.com o a cgomez@elespectador.com
