Investigadores descubren contraseña «123456» en chatbot de McDonald’s

64 millones de solicitudes de empleo quedaron expuestas debido a fallos de seguridad en el sistema McHire de Paradox.ai. Los datos incluían información personal de candidatos. La vulnerabilidad fue corregida horas después del informe.

«Un riesgo evitable con medidas básicas»

Los investigadores Ian Carroll y Sam Curry hallaron que el chatbot aceptaba credenciales obvias («123456») y tenía otra vulnerabilidad en una API interna. Esto permitía acceder a historiales completos de conversaciones con los aspirantes. «En solo unas horas de revisión detectamos el problema», explicaron en su blog.

Datos comprometidos

La filtración incluía nombres, correos, direcciones y teléfonos de quienes aplicaron a empleos en McDonald’s. Paradox.ai aseguró que la información «nunca se hizo pública» y solucionó los fallos rápidamente tras ser alertados.

De la alerta a la solución

El hallazgo fue reportado primero por Wired. Paradox.ai afirmó que resolvió las vulnerabilidades «en pocas horas», aunque no detalló cuánto tiempo estuvieron activas. McDonald’s no ha comentado públicamente el incidente.

Un contexto de riesgos crecientes

Este caso se suma a una ola de incidentes de ciberseguridad en 2025, donde sistemas con protecciones insuficientes han expuesto datos sensibles. La dependencia de herramientas de IA para procesos masivos, como reclutamiento, aumenta los riesgos si no se implementan controles adecuados.

¿Queda algo por hacer?

El incidente evidencia la necesidad de auditorías rigurosas en sistemas que manejan datos personales. Aunque se corrigió rápido, la magnitud del potencial daño obliga a replantear protocolos, especialmente en empresas globales como McDonald’s.