McDonald's usó un chatbot con IA para reclutar a nuevos empleados. A alguien le pareció que '123456' era una contraseña segura
Publicado el 14/07/2025 por Diario Tecnología Artículo original
Ya nadie discute que la IA cambiará el mercado laboral, para empezar, ya está muy presente en los procesos de reclutamiento de personal. Los franquiciados de McDonald’s en EEUU utilizan un chatbot de reclutamiento basado en IA que recoge y gestiona los datos de los millones de nuevos candidatos que quieren trabajar en uno de los restaurantes de la cadena de hamburgueserías. Sin embargo, tal y como publican en Wired, quien lo configuró olvidó algo tan básico como cambiar la contraseña original del administrador de toda la plataforma.
El chatbot de selección. McDonald’s utiliza una plataforma llamada McHire, desarrollada por Paradox.ai, para gestionar el proceso de selección de personal mediante un chatbot conocido como Olivia. Cuando un candidato muestra interés por una oferta de trabajo, el chatbot entra en juego y solicita a los candidatos datos personales, preferencias de turno y los dirige a realizar un test de personalidad para procesar su candidatura. El uso de la inteligencia artificial pretendía agilizar y modernizar la contratación y realmente lo conseguía, ya que todo el proceso se hace sin intervención humana.
No obstante, tal y como contaban Ian Carroll y Sam Curry, los investigadores que sin querer descubrieron el fallo, había dos cosas que les llamó la atención. La primera de ellas fue un hilo de Reddit en el que se aseguraba que la IA de contratación de McDonald’s estaba dando algunos fallos graciosos volviendo locos a los candidatos que intentaban dejar su solicitud de empleo.
La segunda cosa que les llevó a indagar un poco más sobre el chatbot de contratación de McDonald’s fue que les pareció muy extraño que la IA sustituyera los currículums por un test de personalidad. "Me pareció bastante distópico comparado con un proceso de contratación normal, ¿verdad? Y eso fue lo que me animó a investigarlo más a fondo", aseguraba Carroll.
El fallo de seguridad: "123456". Los investigadores Ian Carroll y Sam Curry tienen mucha experiencia en ciberseguridad, por lo que a nadie sorprende que hayan conseguido vulnerar la seguridad de una plataforma.
Sin embargo, tal y como relatan en su blog, no necesitaron ninguno de sus grandes conocimientos técnicos para tomar el control de la plataforma como administradores. Simplemente accedieron al portal de McHire, que es la plataforma tras el chatbot de contratación de los empleados para las franquicias de McDonald’s, y usaron la contraseña "123456" en los campos de administrador y contraseña de acceso.
"Eso nos permitió, a nosotros y a cualquier otra persona, acceder a cualquier bandeja de entrada y recuperar los datos personales de más de 64 millones de solicitantes", aseguraron los expertos en ciberseguridad. Este acceso no solo permitía ver los datos de los candidatos, sino también intervenir en las conversaciones y procesos de selección en curso. "Resultó que nos habíamos convertido en administradores de un restaurante de prueba dentro del sistema McHire. Podíamos ver que todos los empleados del restaurante eran simplemente empleados de Paradox.ai, la empresa detrás de McHire".
Los datos no quedaron expuestos. Tras confirmar que, realmente se trataba de una vulnerabilidad de seguridad real, los investigadores se pusieron inmediatamente en contacto con Paradox.ai, que publicó un comunicado explicando que "solo una pequeña parte de los registros accedidos por los investigadores contenía información personal" y que "la cuenta ‘123456’ que expuso estos datos no había sido accedida por nadie más que los investigadores". Además, explicaba que la credencial comprometida se trataba de una cuenta de prueba que "no había sido utilizada desde 2019 y, francamente, debería haber sido desactivada".
McDonald’s responsabilizó a su proveedor asegurando que "estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor externo, Paradox.ai. Tan pronto como supimos del problema, ordenamos a Paradox.ai que lo solucionara, y se resolvió el mismo día en que se nos informó".
Paradox.ai también, anunció la puesta en marcha de un programa de recompensas por errores, para identificar vulnerabilidades de manera más efectiva en el futuro y ofrecer una retribución económica a quien detecte nuevas vulnerabilidades para corregirlas.
IA sin vigilancia. El contexto laboral hace que los datos expuestos sean especialmente atractivos para los ciberdelincuentes, lo que pone de manifiesto la importancia de proveer de capas de seguridad adicional a los chatbots basados en IA que gestionan datos tan sensibles.
"Si alguien hubiera explotado esto, el riesgo de phishing habría sido realmente enorme. No se trata solo de información personal identificable y currículums. Es esa información de personas que buscan trabajo en McDonald’s, personas que están esperando con ansias correos electrónicos de respuesta", señalaban los investigadores.
Imagen | Wikimedia Commons (Dirk Tussing)
utm_campaign=14_Jul_2025"> Rubén Andrés .