Hace tiempo publiqué un artículo, que dejo enlazado aquí, en el que denunciaba que muchas empresas no se toman realmente en serio la protección de datos personales. Este problema es especialmente grave en el caso de las grandes empresas, dado que disponen de recursos muy superiores a los de las pymes; por lo tanto, no existe excusa.
Un ejemplo reciente que confirma esta preocupante realidad es el incidente ocurrido en Estados Unidos con McHire (la plataforma de contratación de McDonald’s desarrollada por Paradox.ai).
El 30 de junio de 2025, los investigadores de seguridad independientes Ian Carroll y Sam Curry descubrieron una vulnerabilidad crítica, que expuso los datos personales de más de 64 millones de solicitantes de empleo. La causa fue el uso de credenciales extremadamente débiles: una cuenta administrativa con usuario y contraseña configurados como «123456», sin autenticación multifactor ni otros mecanismos básicos de protección.
El acceso no autorizado permitió revelar información personal de los candidatos como nombre, correo electrónico, número de teléfono y registros completos de las conversaciones entre los candidatos y el chatbot de inteligencia artificial (Olivia), empleado para gestionar los currículums y las pruebas de personalidad. Esta vulneración deja a los afectados vulnerables a ataques de phishing, suplantación de identidad y posibles fraudes.
McDonald’s emitió un comunicado calificando el incidente de «inaceptable» y responsabilizando a su proveedor Paradox.ai, comprometiéndose a reforzar los requisitos de seguridad en contratos con terceros. Paradox.ai, por su parte, publico su propio comunicado, en el que enfatizó que se trató de un caso aislado y que ninguna información sensible se filtró públicamente.
Conclusión
Este caso evidencia deficiencias básicas en la ciberseguridad de sistemas críticos que manejan información personal sensible, como el uso de contraseñas por defecto y la ausencia de mecanismos robustos de autenticación y control de acceso. Además, genera una alarma adicional sobre el creciente uso de inteligencia artificial en procesos de selección, donde algoritmos de aprendizaje automático sustituyen a reclutadores humanos en etapas iniciales, poniendo en primer plano la necesidad de garantizar la privacidad y el derecho de los afectados.
No se pierda nuestro podcast sobre el artículo
