La automatización llegó al reclutamiento laboral, y McDonald’s no se quedó atrás. Sin embargo, una brecha de seguridad ha puesto en duda la fiabilidad del sistema. La IA de reclutamiento de McDonald’s dejó expuesta la información de 64 millones de personas por algo tan simple como una contraseña poco segura: “123456”.
¿Te interesa saber cómo pudo pasar algo así en una multinacional? Te lo contamos.
¿Cómo funciona la IA de reclutamiento de McDonald’s?
McDonald’s utiliza el sistema McHire, basado en la inteligencia artificial “Olivia”, creada por la empresa Paradox.ai. Esta plataforma automatiza entrevistas, responde preguntas y filtra perfiles en las primeras etapas del proceso. Según explica TechRadar, este sistema se ha implementado en miles de restaurantes de McDonald’s, procesando millones de solicitudes al año.
Se trata de una herramienta eficiente, pero que depende por completo de su configuración y seguridad inicial.
El error: una contraseña ridículamente fácil
La polémica comenzó cuando los investigadores Ian Carroll y Sam Curry accedieron al panel de administración del sistema usando la contraseña “123456”, una de las más comunes y fáciles de adivinar. Tal como detalla Wired, el fallo permitió visualizar directamente solicitudes de empleo de múltiples países, sin ningún tipo de verificación adicional.
Además, hallaron una vulnerabilidad del tipo IDOR (Insecure Direct Object Reference), que permitía cambiar el ID de los usuarios para consultar cualquier perfil almacenado en la base de datos, lo que amplificó aún más el alcance de la exposición.
Qué información quedó al descubierto
Este acceso no autorizado permitía consultar:
- Nombres completos y datos de contacto
- Correos electrónicos y números de teléfono
- Respuestas en entrevistas automatizadas
- Experiencia laboral previa
El volumen afectado alcanzaría los 64 millones de solicitudes, según la estimación hecha por los investigadores a partir del formato y estructura de los datos expuestos.
Así respondieron McDonald’s y su proveedor
Una vez recibida la alerta, Paradox.ai desactivó el acceso en menos de 24 horas. La empresa confirmó a The Daily Beast que el error provenía de una cuenta de prueba que nunca fue deshabilitada tras el lanzamiento del sistema. McDonald’s, por su parte, indicó que la responsabilidad técnica recaía en el proveedor, aunque anunció que revisará los protocolos de acceso y autenticación para evitar futuras incidencias.
Lo que este caso nos enseña sobre seguridad y tecnología
Este incidente evidencia que la inteligencia artificial también puede ser vulnerable a errores humanos. No importa cuán avanzada sea una tecnología: si se mantiene una contraseña débil o se dejan cuentas abiertas, los riesgos son reales.
Este caso resalta la importancia de eliminar configuraciones por defecto, realizar auditorías internas periódicas y no asumir que los proveedores externos gestionan la seguridad de forma impecable.
Y es que, una contraseña tan simple como “123456” permitió el acceso a información confidencial almacenada por la IA de McDonald’s. Aunque la respuesta fue rápida y no se han detectado usos maliciosos, el daño reputacional y el riesgo potencial son evidentes.
Casos como este recuerdan que la ciberseguridad debe ser una prioridad, incluso en sistemas impulsados por inteligencia artificial.
