El científico que creó el primer chatbot advirtió del peligro de dar a las máquinas la capacidad de tomar decisiones humanas
Bret presentador político jefe Fox News Bret Baier Bret investiga en "Special Report" la preocupación de que la inteligencia artificial esté avanzando demasiado.
Muchas empresas confían ahora en la IA para gestionar partes del proceso de contratación. Los robots examinan currículos, filtran candidatos y gestionan la comunicación preliminar antes de que intervenga un humano. McDonald's utiliza una plataforma de contratación impulsada por IA llamada McHire, que funciona con Olivia, el chatbot de Paradox.ai, para agilizar su proceso de contratación.
Aunque la IA aporta comodidad, también conlleva riesgos para la privacidad de los datos. Esto quedó claro cuando dos investigadores de seguridad revelaron responsablemente una vulnerabilidad crítica que expuso un pequeño número de registros de candidatos, a pesar de que algunos informes iniciales sugerían una violación mucho mayor.
Suscríbete a mi Informe CyberGuy GRATUITO
Recibe mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas directamente en tu bandeja de entrada. Además, obtendrás acceso instantáneo a mi Guía Definitiva de Supervivencia a las Estafas - gratis al unirte a mi CYBERGUY.COM/NEWSLETTER
CÓMO LOS CHATBOTS AI ESTÁN AYUDANDO A LOS HACKERS A ATACAR TUS CUENTAS BANCARIAS
Un cartel de McDonald's (Kurt "CyberGuy" Knutsson)
¿Qué encontraron los investigadores en la plataforma de contratación de IA McDonald's ?
El 30 de junio de 2025, los investigadores de seguridad Ian Carroll y Sam Curry descubrieron una vulnerabilidad en una cuenta de pruebas de Paradox.ai relacionada con una única instancia de cliente , que presta servicios a McDonald's. Utilizando credenciales débiles y obsoletas, accedieron a un portal de pruebas y descubrieron un punto final de API no autenticado vinculado a registros de interacción de chat.
Recuperaron siete registros de chat, cinco de los cuales incluían información sobre candidatos con sede en EE.UU., como:
- Nombres y apellidos
- Direcciones de correo electrónico
- Números de teléfono
- Direcciones IP
Los dos registros restantes no incluían ningún dato personal. En particular, no se expusieron solicitudes de empleo completas, números de la Seguridad Social ni información financiera, y los campos sensibles permanecieron protegidos.
Un cartel de McDonald's (Kurt "CyberGuy" Knutsson)
Paradox.ai confirma el alcance de la vulnerabilidad de seguridad
Paradox.ai respondió con rapidez, desactivando inmediatamente la cuenta de prueba y parcheando el punto final expuesto a las pocas horas de la notificación. En una declaración pública, la empresa confirmó que sólo se accedió a cinco registros de candidatos que contenían información personal, y únicamente por parte de los dos investigadores que revelaron éticamente el problema.
La empresa afirma que el incidente sólo afectó a un cliente de Paradox, que se cree que es McDonald's, y que ningún otro cliente o sistema de Paradox.ai se vio afectado. No hay pruebas de acceso malintencionado ni de que se filtrara o hiciera pública ninguna información. La empresa añadió: "Estamos seguros de que, según nuestros registros, a esta cuenta de prueba no accedió ningún tercero aparte de los investigadores de seguridad."
¿QUÉ ES LA INTELIGENCIA ARTIFICIAL (AI)?
Lo que McDonald's y Paradox.ai están haciendo ahora
Paradox.ai admitió que la cuenta de prueba, creada antes de 2019, debería haberse dado de baja, y que las credenciales heredadas ya no cumplían las normas actuales sobre contraseñas. En respuesta al incidente, la empresa ha:
- Revocadas las credenciales de la cuenta de prueba heredada
- Desplegado un parche para cerrar el punto final vulnerable
- Lanzamiento de un programa de recompensas por errores
- Se ha añadido un contacto público para cuestiones de seguridad en security@paradox.ai
En respuesta, McDonald's emitió un comunicado:
"Estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor externo, Paradox.ai. En cuanto tuvimos conocimiento del problema, ordenamos a Paradox.ai que lo corrigiera inmediatamente, y se resolvió el mismo día en que se nos comunicó. Nos tomamos muy en serio nuestro compromiso con la ciberseguridad y seguiremos exigiendo a nuestros proveedores externos que cumplan nuestras normas de protección de datos."
Un cartel de McDonald's (Kurt "CyberGuy" Knutsson)
¿Fueron realmente 64 millones de solicitudes de empleo?
Los primeros informes sugerían que la vulnerabilidad podría haber expuesto hasta 64 millones de solicitudes de empleo. Sin embargo, los investigadores nunca confirmaron esta cifra y la investigación de Paradox.ai no encontró ningún indicio de que se hubiera producido un robo de datos a gran escala. Los únicos registros a los que se accedió fueron las siete muestras de chat extraídas por los investigadores para verificar el problema.
Nos pusimos en contacto con Paradox.ai, y un representante nos dijo: "Nuestro post público debe servir como declaración oficial de Paradox. Proporciona contexto, así como algunas aclaraciones sobre inexactitudes publicadas en otros medios". En consonancia con su declaración, Paradox.ai subrayó que los investigadores de seguridad sólo accedieron a cinco registros de candidatos que contenían información personal, y que no hay pruebas de que se haya producido una filtración masiva ni de que se hayan hecho públicos los datos.
Aunque la vulnerabilidad subyacente era real, sólo se accedió realmente a una cantidad muy limitada de datos, gracias a las acciones de los investigadores y a la rápida respuesta del proveedor.
¿Podrían haberse utilizado estos datos de forma malintencionada?
Aunque los investigadores accedieron a la información personal de cinco registros, no hay pruebas de que los atacantes llegaran a explotar estos datos. Sin embargo, hipotéticamente, esos datos podrían utilizarse para diversas estafas, por ejemplo:
- Hacerse pasar por reclutadores para recopilar más información personal
- Enviar correos electrónicos de phishing con el pretexto de la incorporación
- Dirigirse a los solicitantes de empleo con ofertas de trabajo falsas
La naturaleza de los datos expuestos los hace sensibles, aunque el alcance fuera limitado.
CONSIGUE FOX BUSINESS ON THE GO HACIENDO CLIC AQUÍ
6 pasos para proteger tus datos personales al utilizar plataformas de contratación en línea
La filtración de McHire demuestra lo fácilmente que puede quedar expuesta la información personal cuando las herramientas de IA recopilan datos de solicitudes de empleo. Estos seis pasos pueden ayudarte a proteger tu información antes, durante y después de presentar tu candidatura.
1. Limita los datos personales que compartes
Comparte sólo la información necesaria para completar la solicitud. No facilites datos sensibles como tu número de la Seguridad Social, información sobre tu cuenta bancaria o tu dirección completa, a menos que estés seguro de que la plataforma es legítima y segura.
2. Consigue un alias de correo electrónico para las solicitudes de empleo
Una dirección de correo electrónico de alias es una dirección de correo electrónico adicional que puede utilizarse para recibir correos electrónicos en el mismo buzón que la dirección de correo electrónico principal. Actúa como una dirección de reenvío, dirigiendo los correos electrónicos a la dirección de correo electrónico principal. También mantiene organizada tu búsqueda de empleo, te ayuda a detectar estafas y reduce los daños si una empresa maneja mal tus datos.
Consulta mi reseña sobre los mejores servicios de correo electrónico seguro y privado en Cyberguy.com/Correo
3. Comprueba si hay HTTPS y banderas rojas
Antes de rellenar cualquier formulario, comprueba que la URL del sitio web empieza por https:// y que el sitio parece seguro y profesional. Evita plataformas o bots que hagan preguntas vagas o repetitivas o que te redirijan sin una razón clara.
4. Considera un servicio de eliminación de datos
Incidentes como la filtración de McHire demuestran lo fácilmente que pueden quedar expuestos los datos personales, incluso cuando crees que sólo estás solicitando un empleo. Un servicio de eliminación de datos te ayuda a reducir tu huella en Internet escaneando cientos de sitios de intermediarios de datos y solicitando la eliminación de tu información. Esto reduce el riesgo de que se filtren tus datos personales, se utilicen en estafas de phishing o para suplantar identidades.
Aunque ningún servicio promete eliminar todos tus datos de Internet, disponer de un servicio de eliminación es estupendo si quieres controlar constantemente y automatizar el proceso de eliminación de tu información de cientos de sitios de forma continuada durante un periodo de tiempo más largo.
Echa un vistazo a mis mejores opciones de servicios de eliminación de datos y obtén un escaneado gratuito para averiguar si tu información personal ya está en la red visitando Cyberguy.com/Borrar
Obtén un escaneado gratuito para averiguar si tu información personal ya está en la red: Cyberguy.com/Exploración gratuita
5. Utiliza contraseñas fuertes y únicas para las cuentas de búsqueda de empleo
Si creas cuentas en plataformas de contratación, evita reutilizar contraseñas de otros servicios. Una contraseña débil o reutilizada puede facilitar que los atacantes comprometan tus datos si se produce una violación de un sitio. Considera la posibilidad de utilizar un gestor de contraseñas para generar y almacenar contraseñas seguras.
Echa un vistazo a los mejores gestores de contraseñas de 2025 revisados por expertos en Cyberguy.com/Contraseñas
6. Vigila las señales de usurpación de identidad o mensajes de estafa
Después de solicitar trabajo, mantente alerta ante correos electrónicos o mensajes de texto que parezcan "raros". Los estafadores suelen utilizar datos filtrados para hacerse pasar por reclutadores o empleadores, sobre todo después de filtraciones de gran repercusión. Presta atención a las solicitudes de incorporación falsas o a los mensajes en los que te pidan información confidencial, como datos bancarios o documentos de identidad. En caso de duda, compruébalo directamente con la empresa.
HAZ CLIC AQUÍ PARA OBTENER LA APLICACIÓN FOX NEWS
La clave de Kurt
Este incidente fue un problema de seguridad grave pero limitado. Gracias a la revelación responsable por parte de los investigadores y a la rápida respuesta de Paradox.ai, la exposición se limitó a sólo cinco registros de candidatos, y no se filtraron ni utilizaron indebidamente datos personales. Dicho esto, el suceso es un recordatorio: cuando la IA interviene en la contratación, la privacidad de los datos debe seguir siendo una de las principales preocupaciones. Incluso pequeños descuidos, como el olvido de una cuenta de prueba, pueden poner en peligro los datos de personas reales.
¿Crees que se necesita más transparencia por parte de las empresas cuando tus datos intervienen en el proceso de contratación? Háznoslo saber escribiéndonos a Cyberguy.com/Contacto
Suscríbete a mi Informe CyberGuy GRATUITO
Recibe mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas directamente en tu bandeja de entrada. Además, obtendrás acceso instantáneo a mi Guía Definitiva de Supervivencia a las Estafas - gratis al unirte a mi CYBERGUY.COM/NEWSLETTER
Copyright 2025 CyberGuy.com. Todos los derechos reservados.
Get a daily look at what’s developing in science and technology throughout the world.
