Un chatbot llamado Olivia se convirtió en la primera entrevista laboral para muchos aspirantes a trabajar en McDonald’s (en Estados Unidos). Diseñada por la empresa de software Paradox.ai, Olivia no solo recopila información personal y currículums, sino que también guía a los usuarios hacia tests de personalidad antes de derivarlos al proceso final. Pero lo que parecía ser una innovación en recursos humanos resultó tener una vulnerabilidad crítica: millones de conversaciones confidenciales quedaron expuestas por una falla de seguridad elemental.
Según revelaron los investigadores Ian Carroll y Sam Curry, el sistema de McHire.com –el sitio que McDonald’s y sus franquicias utilizan para gestionar postulaciones laborales– tenía una puerta trasera abierta. Con solo probar credenciales tan básicas como “admin” y “123456”, lograron ingresar a la plataforma de administración de Paradox.ai y acceder a más de 64 millones de registros que incluían nombres, correos electrónicos y números de teléfono de los solicitantes.
El hallazgo surgió casi por accidente. Curry y Caroll dijeron que comenzaron a explorar la herramienta tras ver quejas en Reddit sobre el mal desempeño del chatbot Olivia, que confundía o ignoraba las preguntas básicas de los postulantes. Intrigados por lo que consideró un enfoque “distópico” para contratar personal, decidió postularse a un empleo para investigar más a fondo. Pero en el proceso encontraron un link que los llevaba a acceder a la plataforma como un miembro de Pardox.ai. Fue ahí cuando probaron las credenciales de usuario más comunes del mundo -y las menos recomendadas. Ahí pudieron tener acceso a los datos.
Paradox.ai reconoció la falla en un comunicado oficial, donde confirmaron que los investigadores accedieron a siete registros, cinco de los cuales contenían datos personales. Aclararon que el usuario comprometido con la contraseña “123456” no había sido utilizado por terceros fuera del equipo investigador, y anunciaron el lanzamiento de un programa de recompensas para detectar futuras vulnerabilidades. “No tomamos este asunto a la ligera, aunque haya sido resuelto rápida y eficazmente”, aseguró Stephanie King, directora legal de Paradox.ai, a WIRED.
En su propia declaración a WIRED, McDonald’s señaló a Paradox.ai como culpable. “Estamos decepcionados por esta inaceptable vulnerabilidad de un proveedor externo, Paradox.ai. En cuanto supimos del problema, ordenamos a Paradox.ai remediarse inmediatamente, y se resolvió el mismo día en que se nos informó”, dice la declaración. “Nos tomamos muy en serio nuestro compromiso con la ciberseguridad y seguiremos exigiendo a nuestros proveedores externos que cumplan nuestras normas de protección de datos.”
El riesgo, sin embargo, no se limitaba a la exposición de nombres y correos electrónicos. Según explicaron los investigadores, la combinación de datos personales y la evidencia de estar buscando empleo en McDonald’s —en muchos casos, un trabajo de salario mínimo— podría ser usada para fraudes de tipo phishing —un tipo de ataque cibernético donde los atacantes se hacen pasar por entidades legítimas—, suplantando a reclutadores falsos que soliciten información bancaria o pagos.
“Si alguien hubiese explotado esta brecha, el riesgo de estafas hubiera sido enorme”, advirtió Curry. “No es solo información personal: es información sensible de personas que están esperando noticias para poder trabajar”. Carroll, quien expresó su respeto por los trabajadores de McDonald’s, cerró con una reflexión sobre la exposición de los datos: “No se trata de avergonzar a nadie. Yo mismo voy a McDonald’s todo el tiempo. Pero cuando se expone algo tan íntimo como la búsqueda de trabajo, la responsabilidad debe ser tomada con seriedad”.
