Investigadores de seguridad descubrieron este mes una vulnerabilidad crítica en la plataforma de contratación de candidatos McHire —gestionada por Paradox.ai— que permite acceder al panel administrativo usando una contraseña muy sencilla («123456»). Este fallo otorgó acceso completo a los registros de los solicitantes de empleo, incluyendo nombres, correos y teléfonos de hasta 64 millones de candidatos.
Los expertos iniciaron una revisión tras leer comentarios en Reddit sobre el mal funcionamiento de “Olivia”. En solamente 30 minutos, lograron entrar al sistema y, mediante una vulnerabilidad lograron visualizar historiales de chat de otros solicitantes simplemente manipulando el identificador del usuario.
Tras reportar el hallazgo, la plataforma se corrigió el mismo día. Paradox.ai reconoció que el acceso fue posible solo a través de una cuenta de prueba inactiva desde 2019, por lo que activó un programa de recompensas por errores (“bug bounty”) y prometió reforzar su seguridad. McDonald’s declaró su decepción, apuntando al proveedor como responsable y afirmando que exigirá el cumplimiento estricto de sus estándares de ciberseguridad.
Aunque no se detectó un uso malicioso de los datos, los investigadores advierten de un alto riesgo de campañas de phishing y estafas, ya que los registros incluyen datos personales asociados a procesos de contratación reales . El incidente subraya la necesidad imperiosa de aplicar buenas prácticas de ciberseguridad en plataformas de IA, especialmente en herramientas que manejan información sensible.
Fuente: Wired