McDonald’s usó un chatbot con IA para reclutar a nuevos empleados. A alguien le pareció que ‘123456’ era una contraseña segura

<p>&NewLine; <img src&equals;"https&colon;&sol;&sol;i&period;blogs&period;es&sol;e6c734&sol;mcdonalds&sol;1024&lowbar;2000&period;jpeg" alt&equals;"McDonald's usó un chatbot con IA para reclutar a nuevos empleados&period; A alguien le pareció que '123456' era una contraseña segura ">&NewLine; <&sol;p>&NewLine;<p>Ya nadie discute que la IA <a class&equals;"text-outboundlink" href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;robotica-e-ia&sol;hay-profesionales-que-se-estan-forrando-a-costa-ia-que-reparan-sus-errores" data-vars-post-title&equals;"Sabíamos que la IA generaría nuevos empleos que antes no existían&period; Lo que no esperábamos es que fuera arreglando sus pifias" data-vars-post-url&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;robotica-e-ia&sol;hay-profesionales-que-se-estan-forrando-a-costa-ia-que-reparan-sus-errores">cambiará el mercado laboral<&sol;a>&comma; para empezar&comma; ya está muy presente en los <a class&equals;"text-outboundlink" href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;robotica-e-ia&sol;tu-proxima-entrevista-trabajo-haras-robot-esa-deshumanizacion-esta-desquiciando-a-candidatos" data-vars-post-title&equals;"Las IA han empezado a hacer entrevistas de trabajo&period; Y los entrevistados están saliendo horrorizados de ellas" data-vars-post-url&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;robotica-e-ia&sol;tu-proxima-entrevista-trabajo-haras-robot-esa-deshumanizacion-esta-desquiciando-a-candidatos">procesos de reclutamiento<&sol;a> de personal&period; Los franquiciados de McDonald’s en EEUU utilizan un chatbot de <a class&equals;"text-outboundlink" href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;empresas-y-economia&sol;ia-tambien-herramienta-para-conseguir-empleo-nadie-notara" data-vars-post-title&equals;"No es trampa&comma; solo es una herramienta más&colon; usar IA para adaptar el currículum a la oferta de empleo es cada vez más habitual" data-vars-post-url&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;empresas-y-economia&sol;ia-tambien-herramienta-para-conseguir-empleo-nadie-notara">reclutamiento basado en IA<&sol;a> que recoge y gestiona los datos de los millones de nuevos candidatos que quieren trabajar en uno de los restaurantes de la cadena de hamburgueserías&period; Sin embargo&comma; tal y <a rel&equals;"noopener&comma; noreferrer" href&equals;"https&colon;&sol;&sol;www&period;wired&period;com&sol;story&sol;mcdonalds-ai-hiring-chat-bot-paradoxai&sol;">como publican<&sol;a> en <em>Wired<&sol;em>&comma; quien lo configuró olvidó algo tan básico como cambiar la contraseña original del administrador de toda la plataforma&period;<&sol;p>&NewLine;<p><&excl;-- BREAK 1 --><&sol;p>&NewLine;<p><strong>El chatbot de selección<&sol;strong>&period; McDonald’s utiliza una plataforma llamada McHire&comma; desarrollada por Paradox&period;ai&comma; para gestionar el <a class&equals;"text-outboundlink" href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;empresas-y-economia&sol;procesos-seleccion-siempre-han-tenido-sesgos-personales-ideologicos-ia-no-va-a-solucionar" data-vars-post-title&equals;"Los procesos de selección siempre han tenido sesgos personales o ideológicos&period; La IA no los va a solucionar" data-vars-post-url&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;empresas-y-economia&sol;procesos-seleccion-siempre-han-tenido-sesgos-personales-ideologicos-ia-no-va-a-solucionar">proceso de selección de personal<&sol;a> mediante un chatbot conocido como Olivia&period; Cuando un candidato muestra interés por una oferta de trabajo&comma; el chatbot entra en juego y solicita a los candidatos datos personales&comma; preferencias de turno y los dirige a realizar un test de personalidad para procesar su candidatura&period; El uso de la inteligencia artificial pretendía agilizar y modernizar la contratación y realmente lo conseguía&comma; ya que todo el proceso se hace <a class&equals;"text-outboundlink" href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;robotica-e-ia&sol;juro-soy-persona-verdad-muchos-clientes-no-se-creen-que-quien-les-esta-atendiendo-no-ia" data-vars-post-title&equals;"Los clientes exigen que un humano les resuelva su problema&period; Lo sorprendente es que si les atienden humanos piensan que son una IA" data-vars-post-url&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;robotica-e-ia&sol;juro-soy-persona-verdad-muchos-clientes-no-se-creen-que-quien-les-esta-atendiendo-no-ia">sin intervención humana<&sol;a>&period;<&sol;p>&NewLine;<p><&excl;-- BREAK 2 --><&sol;p>&NewLine;<div class&equals;"article-asset article-asset-normal article-asset-center">&NewLine;<div class&equals;"desvio-container">&NewLine;<div class&equals;"desvio">&NewLine;<div class&equals;"desvio-figure js-desvio-figure">&NewLine; <a href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;seguridad&sol;hay-algo-que-no-estamos-haciendo-suficiente-deberiamos-eliminar-cuentas-antiguas" class&equals;"pivot-outboundlink" data-vars-post-title&equals;"Hay algo que no estamos haciendo lo suficiente y deberíamos por nuestra propia seguridad&colon; eliminar cuentas antiguas"><br &sol;>&NewLine; <img alt&equals;"Hay algo que no estamos haciendo lo suficiente y deberíamos por nuestra propia seguridad&colon; eliminar cuentas antiguas" width&equals;"375" height&equals;"142" src&equals;"https&colon;&sol;&sol;i&period;blogs&period;es&sol;cdb3cd&sol;cleanshot-2025-06-13-at-17&period;05&period;35-2x&sol;375&lowbar;142&period;png"><br &sol;>&NewLine; <&sol;a>&NewLine; <&sol;div>&NewLine;<div class&equals;"desvio-summary">&NewLine;<div class&equals;"desvio-taxonomy js-desvio-taxonomy">&NewLine; <a href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;seguridad&sol;hay-algo-que-no-estamos-haciendo-suficiente-deberiamos-eliminar-cuentas-antiguas" class&equals;"desvio-taxonomy-anchor pivot-outboundlink" data-vars-post-title&equals;"Hay algo que no estamos haciendo lo suficiente y deberíamos por nuestra propia seguridad&colon; eliminar cuentas antiguas">En Xataka<&sol;a>&NewLine; <&sol;div>&NewLine;<p> <a href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;seguridad&sol;hay-algo-que-no-estamos-haciendo-suficiente-deberiamos-eliminar-cuentas-antiguas" class&equals;"desvio-title js-desvio-title pivot-outboundlink" data-vars-post-title&equals;"Hay algo que no estamos haciendo lo suficiente y deberíamos por nuestra propia seguridad&colon; eliminar cuentas antiguas">Hay algo que no estamos haciendo lo suficiente y deberíamos por nuestra propia seguridad&colon; eliminar cuentas antiguas<&sol;a>&NewLine; <&sol;div>&NewLine;<&sol;p><&sol;div>&NewLine;<&sol;p><&sol;div>&NewLine;<&sol;div>&NewLine;<p>No obstante&comma; tal y <a rel&equals;"noopener&comma; noreferrer" href&equals;"https&colon;&sol;&sol;ian&period;sh&sol;mcdonalds">como contaban<&sol;a> Ian Carroll y Sam Curry&comma; los investigadores que sin querer descubrieron el fallo&comma; había dos cosas que les llamó la atención&period; La primera de ellas fue un hilo de Reddit en el que se aseguraba que la IA de contratación de McDonald’s estaba dando <a rel&equals;"noopener&comma; noreferrer" href&equals;"https&colon;&sol;&sol;www&period;reddit&period;com&sol;r&sol;mildlyinfuriating&sol;comments&sol;1lo9s75&sol;mcdonalds&lowbar;hiring&lowbar;ai&lowbar;is&lowbar;making&lowbar;me&lowbar;go&lowbar;insane&sol;">algunos fallos graciosos<&sol;a> volviendo locos a los candidatos que intentaban dejar su solicitud de empleo&period;<&sol;p>&NewLine;<p><&excl;-- BREAK 3 --><&sol;p>&NewLine;<p>La segunda cosa que les llevó a indagar un poco más sobre el chatbot de contratación de McDonald’s fue que les pareció muy extraño que <a class&equals;"text-outboundlink" href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;robotica-e-ia&sol;hay-forma-evitar-filtrado-ia-al-solicitar-empleo-usar-otra-ia-para-crear-tu-curriculum" data-vars-post-title&equals;"Hay una forma de evitar el filtrado por IA al solicitar un empleo&colon; usar otra IA para crear tu currículum" data-vars-post-url&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;robotica-e-ia&sol;hay-forma-evitar-filtrado-ia-al-solicitar-empleo-usar-otra-ia-para-crear-tu-curriculum">la IA sustituyera los currículums<&sol;a> por un test de personalidad&period; &&num;8220&semi;Me pareció bastante distópico comparado con un proceso de contratación normal&comma; ¿verdad&quest; Y eso fue lo que me animó a investigarlo más a fondo&&num;8221&semi;&comma; aseguraba Carroll&period;<&sol;p>&NewLine;<p><&excl;-- BREAK 4 --><&sol;p>&NewLine;<p><strong>El fallo de seguridad&colon; &&num;8220&semi;123456&&num;8221&semi;&period; <&sol;strong>Los investigadores Ian Carroll y Sam Curry tienen <a rel&equals;"noopener&comma; noreferrer" href&equals;"https&colon;&sol;&sol;ian&period;sh&sol;tsa">mucha experiencia en ciberseguridad<&sol;a>&comma; por lo que a nadie sorprende que hayan conseguido vulnerar la seguridad de una plataforma&period;<&sol;p>&NewLine;<p><&excl;-- BREAK 5 --><&sol;p>&NewLine;<p>Sin embargo&comma; tal y como relatan en su blog&comma; no necesitaron ninguno de sus grandes conocimientos técnicos para tomar el control de la plataforma como administradores&period; Simplemente accedieron al portal de McHire&comma; que es la plataforma tras el chatbot de contratación de los empleados para las franquicias de McDonald’s&comma; y usaron la contraseña &&num;8220&semi;123456&&num;8221&semi; en los campos de administrador y contraseña de acceso&period;<&sol;p>&NewLine;<p><&excl;-- BREAK 6 --><&sol;p>&NewLine;<p>&&num;8220&semi;Eso nos permitió&comma; a nosotros y a cualquier otra persona&comma; acceder a cualquier bandeja de entrada y recuperar los datos personales de más de 64 millones de solicitantes&&num;8221&semi;&comma; aseguraron los expertos en ciberseguridad&period; Este acceso no solo permitía ver los datos de los candidatos&comma; sino también intervenir en las conversaciones y procesos de selección en curso&period; &&num;8220&semi;Resultó que nos habíamos convertido en administradores de un restaurante de prueba dentro del sistema McHire&period; Podíamos ver que todos los empleados del restaurante eran simplemente empleados de Paradox&period;ai&comma; la empresa detrás de McHire&&num;8221&semi;&period;<&sol;p>&NewLine;<p><&excl;-- BREAK 7 --><&sol;p>&NewLine;<div class&equals;"article-asset article-asset-normal article-asset-center">&NewLine;<div class&equals;"desvio-container">&NewLine;<div class&equals;"desvio">&NewLine;<div class&equals;"desvio-figure js-desvio-figure">&NewLine; <a href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;seguridad&sol;contrasenas-comunes-e-inseguras-mundo-expuestas-revelador-grafico" class&equals;"pivot-outboundlink" data-vars-post-title&equals;"Las contraseñas más comunes e inseguras del mundo&comma; expuestas en un revelador gráfico "><br &sol;>&NewLine; <img alt&equals;"Las contraseñas más comunes e inseguras del mundo&comma; expuestas en un revelador gráfico " width&equals;"375" height&equals;"142" src&equals;"https&colon;&sol;&sol;i&period;blogs&period;es&sol;83722c&sol;contrasenas-comunes-2&sol;375&lowbar;142&period;jpeg"><br &sol;>&NewLine; <&sol;a>&NewLine; <&sol;div>&NewLine;<div class&equals;"desvio-summary">&NewLine;<div class&equals;"desvio-taxonomy js-desvio-taxonomy">&NewLine; <a href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;seguridad&sol;contrasenas-comunes-e-inseguras-mundo-expuestas-revelador-grafico" class&equals;"desvio-taxonomy-anchor pivot-outboundlink" data-vars-post-title&equals;"Las contraseñas más comunes e inseguras del mundo&comma; expuestas en un revelador gráfico ">En Xataka<&sol;a>&NewLine; <&sol;div>&NewLine;<p> <a href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;seguridad&sol;contrasenas-comunes-e-inseguras-mundo-expuestas-revelador-grafico" class&equals;"desvio-title js-desvio-title pivot-outboundlink" data-vars-post-title&equals;"Las contraseñas más comunes e inseguras del mundo&comma; expuestas en un revelador gráfico ">Las contraseñas más comunes e inseguras del mundo&comma; expuestas en un revelador gráfico <&sol;a>&NewLine; <&sol;div>&NewLine;<&sol;p><&sol;div>&NewLine;<&sol;p><&sol;div>&NewLine;<&sol;div>&NewLine;<p><strong>Los datos no quedaron expuestos<&sol;strong>&period; Tras confirmar que&comma; realmente se trataba de una vulnerabilidad de seguridad real&comma; los investigadores se pusieron inmediatamente en contacto con Paradox&period;ai&comma; que <a rel&equals;"noopener&comma; noreferrer" href&equals;"https&colon;&sol;&sol;www&period;paradox&period;ai&sol;blog&sol;responsible-security-update">publicó un comunicado<&sol;a> explicando que &&num;8220&semi;solo una pequeña parte de los registros accedidos por los investigadores contenía información personal&&num;8221&semi; y que &&num;8220&semi;la cuenta &OpenCurlyQuote;123456’ que expuso estos datos no había sido accedida por nadie más que los investigadores&&num;8221&semi;&period; Además&comma; explicaba que la credencial comprometida se trataba de una cuenta de prueba que &&num;8220&semi;no había sido utilizada desde 2019 y&comma; francamente&comma; debería <a class&equals;"text-outboundlink" href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;seguridad&sol;hay-algo-que-no-estamos-haciendo-suficiente-deberiamos-eliminar-cuentas-antiguas" data-vars-post-title&equals;"Hay algo que no estamos haciendo lo suficiente y deberíamos por nuestra propia seguridad&colon; eliminar cuentas antiguas" data-vars-post-url&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;seguridad&sol;hay-algo-que-no-estamos-haciendo-suficiente-deberiamos-eliminar-cuentas-antiguas">haber sido desactivada<&sol;a>&&num;8220&semi;&period;<&sol;p>&NewLine;<p><&excl;-- BREAK 8 --><&sol;p>&NewLine;<p>McDonald’s responsabilizó a su proveedor asegurando que &&num;8220&semi;estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor externo&comma; Paradox&period;ai&period; Tan pronto como supimos del problema&comma; ordenamos a Paradox&period;ai que lo solucionara&comma; y se resolvió el mismo día en que se nos informó&&num;8221&semi;&period;<&sol;p>&NewLine;<p><&excl;-- BREAK 9 --><&sol;p>&NewLine;<p>Paradox&period;ai también&comma; anunció la puesta en marcha de un programa de recompensas por errores&comma; para identificar vulnerabilidades de manera más efectiva en el futuro y ofrecer una retribución económica a quien detecte nuevas vulnerabilidades para corregirlas&period;<&sol;p>&NewLine;<p><&excl;-- BREAK 10 --><&sol;p>&NewLine;<div class&equals;"article-asset-video article-asset-normal">&NewLine;<div class&equals;"asset-content">&NewLine;<div class&equals;"base-asset-video">&NewLine;<div class&equals;"js-dailymotion"><&sol;div>&NewLine;<&sol;p><&sol;div>&NewLine;<&sol;p><&sol;div>&NewLine;<&sol;div>&NewLine;<p><strong>IA sin vigilancia<&sol;strong>&period; El contexto laboral hace que los datos expuestos sean especialmente <a class&equals;"text-outboundlink" href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;seguridad&sol;filtracion-16-000-millones-contrasenas-seria-grande-historia-no-fuera-porque-gigantesco-refrito" data-vars-post-title&equals;"La filtración de 16&period;000 millones de contraseñas sería la más grande de la historia&period; Si no fuera porque es un gigantesco refrito " data-vars-post-url&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;seguridad&sol;filtracion-16-000-millones-contrasenas-seria-grande-historia-no-fuera-porque-gigantesco-refrito">atractivos para los ciberdelincuentes<&sol;a>&comma; lo que pone de manifiesto la importancia de proveer de capas de seguridad adicional a los <a class&equals;"text-outboundlink" href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;robotica-e-ia&sol;hay-ciberdelincuentes-vendiendo-modelos-ia-filtros-sorprendente-que-parecen-estar-basadas-grok-mixtral" data-vars-post-title&equals;"Hay ciberdelincuentes vendiendo modelos de IA sin filtros&period; Lo sorprendente es que parecen estar basados en Grok y Mixtral" data-vars-post-url&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;robotica-e-ia&sol;hay-ciberdelincuentes-vendiendo-modelos-ia-filtros-sorprendente-que-parecen-estar-basadas-grok-mixtral">chatbots basados en IA<&sol;a> que gestionan datos tan sensibles&period;<&sol;p>&NewLine;<p><&excl;-- BREAK 11 --><&sol;p>&NewLine;<p>&&num;8220&semi;Si alguien hubiera explotado esto&comma; el riesgo de phishing habría sido realmente enorme&period; No se trata solo de información personal identificable y currículums&period; Es esa información de personas que buscan trabajo en McDonald’s&comma; personas que están esperando con ansias <a class&equals;"text-outboundlink" href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;seguridad&sol;hace-anos-que-pulsamos-cancelar-suscripcion-correos-pensar-justo-que-muchos-ciberdelincuentes-esperan" data-vars-post-title&equals;'Hace años que pulsamos en "Cancelar suscripción" en correos sin pensar&period; Es justo lo que muchos ciberdelincuentes esperan' data-vars-post-url&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;seguridad&sol;hace-anos-que-pulsamos-cancelar-suscripcion-correos-pensar-justo-que-muchos-ciberdelincuentes-esperan">correos electrónicos de respuesta<&sol;a>&&num;8220&semi;&comma; señalaban los investigadores&period;<&sol;p>&NewLine;<p><&excl;-- BREAK 12 --><&sol;p>&NewLine;<p>En Xatak<strong>a <&sol;strong>&vert; <a class&equals;"text-outboundlink" href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;robotica-e-ia&sol;ia-prometia-programar-como-nunca-antes-builder-ai-hizo-como-siempre-700-programadores-humanos-simulando-ser-ia" data-vars-post-title&equals;"Builder&period;ai prometía revolucionar la programación con su IA&period; En realidad había 700 indios detrás picando código" data-vars-post-url&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;robotica-e-ia&sol;ia-prometia-programar-como-nunca-antes-builder-ai-hizo-como-siempre-700-programadores-humanos-simulando-ser-ia">Builder&period;ai prometía revolucionar la programación con su IA&period; En realidad había 700 indios detrás picando código<&sol;a><&sol;p>&NewLine;<p>Imagen &vert; Wikimedia Commons &lpar;<a rel&equals;"noopener&comma; noreferrer" href&equals;"https&colon;&sol;&sol;www&period;flickr&period;com&sol;photos&sol;learningexecutive&sol;43261171540&sol;">Dirk Tussing<&sol;a>&rpar;<&sol;p>&NewLine;<p> &&num;8211&semi; <br &sol;> La noticia<br &sol;>&NewLine; <a href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;seguridad&sol;mcdonalds-uso-chatbot-ia-para-reclutar-a-nuevos-empleados-a-alguien-le-parecio-que-123456-era-contrasena-segura&quest;utm&lowbar;source&equals;feedburner&amp&semi;utm&lowbar;medium&equals;feed&amp&semi;utm&lowbar;campaign&equals;14&lowbar;Jul&lowbar;2025"><br &sol;>&NewLine; <em> McDonald&&num;8217&semi;s usó un chatbot con IA para reclutar a nuevos empleados&period; A alguien le pareció que &&num;8216&semi;123456&&num;8217&semi; era una contraseña segura <&sol;em><br &sol;>&NewLine; <&sol;a><br &sol;>&NewLine; fue publicada originalmente en<br &sol;>&NewLine; <a href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;&quest;utm&lowbar;source&equals;feedburner&amp&semi;utm&lowbar;medium&equals;feed&amp&semi;utm&lowbar;campaign&equals;14&lowbar;Jul&lowbar;2025"><br &sol;>&NewLine; <strong> Xataka <&sol;strong><br &sol;>&NewLine; <&sol;a><br &sol;>&NewLine; por <a href&equals;"https&colon;&sol;&sol;www&period;xataka&period;com&sol;autor&sol;ruben-andres&quest;utm&lowbar;source&equals;feedburner&amp&semi;utm&lowbar;medium&equals;feed&amp&semi;utm&lowbar;campaign&equals;14&lowbar;Jul&lowbar;2025"><br &sol;>&NewLine; Rubén Andrés<br &sol;>&NewLine; <&sol;a><br &sol;>&NewLine; &period; <&sol;p>&NewLine;<p>&ZeroWidthSpace;Ya nadie discute que la IA cambiará el mercado laboral&comma; para empezar&comma; ya está muy presente en los procesos de reclutamiento de personal&period; Los franquiciados de McDonald’s en EEUU utilizan un chatbot de reclutamiento basado en IA que recoge y gestiona los datos de los millones de nuevos candidatos que quieren trabajar en uno de los restaurantes de la cadena de hamburgueserías&period; Sin embargo&comma; tal y como publican en Wired&comma; quien lo configuró olvidó algo tan básico como cambiar la contraseña original del administrador de toda la plataforma&period;<&sol;p>&NewLine;<p>El chatbot de selección&period; McDonald’s utiliza una plataforma llamada McHire&comma; desarrollada por Paradox&period;ai&comma; para gestionar el proceso de selección de personal mediante un chatbot conocido como Olivia&period; Cuando un candidato muestra interés por una oferta de trabajo&comma; el chatbot entra en juego y solicita a los candidatos datos personales&comma; preferencias de turno y los dirige a realizar un test de personalidad para procesar su candidatura&period; El uso de la inteligencia artificial pretendía agilizar y modernizar la contratación y realmente lo conseguía&comma; ya que todo el proceso se hace sin intervención humana&period;<&sol;p>&NewLine;<p> En Xataka<&sol;p>&NewLine;<p> Hay algo que no estamos haciendo lo suficiente y deberíamos por nuestra propia seguridad&colon; eliminar cuentas antiguas<&sol;p>&NewLine;<p>No obstante&comma; tal y como contaban Ian Carroll y Sam Curry&comma; los investigadores que sin querer descubrieron el fallo&comma; había dos cosas que les llamó la atención&period; La primera de ellas fue un hilo de Reddit en el que se aseguraba que la IA de contratación de McDonald’s estaba dando algunos fallos graciosos volviendo locos a los candidatos que intentaban dejar su solicitud de empleo&period;<&sol;p>&NewLine;<p>La segunda cosa que les llevó a indagar un poco más sobre el chatbot de contratación de McDonald’s fue que les pareció muy extraño que la IA sustituyera los currículums por un test de personalidad&period; &&num;8220&semi;Me pareció bastante distópico comparado con un proceso de contratación normal&comma; ¿verdad&quest; Y eso fue lo que me animó a investigarlo más a fondo&&num;8221&semi;&comma; aseguraba Carroll&period;<&sol;p>&NewLine;<p>El fallo de seguridad&colon; &&num;8220&semi;123456&&num;8221&semi;&period; Los investigadores Ian Carroll y Sam Curry tienen mucha experiencia en ciberseguridad&comma; por lo que a nadie sorprende que hayan conseguido vulnerar la seguridad de una plataforma&period;<&sol;p>&NewLine;<p>Sin embargo&comma; tal y como relatan en su blog&comma; no necesitaron ninguno de sus grandes conocimientos técnicos para tomar el control de la plataforma como administradores&period; Simplemente accedieron al portal de McHire&comma; que es la plataforma tras el chatbot de contratación de los empleados para las franquicias de McDonald’s&comma; y usaron la contraseña &&num;8220&semi;123456&&num;8221&semi; en los campos de administrador y contraseña de acceso&period;<&sol;p>&NewLine;<p>&&num;8220&semi;Eso nos permitió&comma; a nosotros y a cualquier otra persona&comma; acceder a cualquier bandeja de entrada y recuperar los datos personales de más de 64 millones de solicitantes&&num;8221&semi;&comma; aseguraron los expertos en ciberseguridad&period; Este acceso no solo permitía ver los datos de los candidatos&comma; sino también intervenir en las conversaciones y procesos de selección en curso&period; &&num;8220&semi;Resultó que nos habíamos convertido en administradores de un restaurante de prueba dentro del sistema McHire&period; Podíamos ver que todos los empleados del restaurante eran simplemente empleados de Paradox&period;ai&comma; la empresa detrás de McHire&&num;8221&semi;&period;<&sol;p>&NewLine;<p> En Xataka<&sol;p>&NewLine;<p> Las contraseñas más comunes e inseguras del mundo&comma; expuestas en un revelador gráfico <&sol;p>&NewLine;<p>Los datos no quedaron expuestos&period; Tras confirmar que&comma; realmente se trataba de una vulnerabilidad de seguridad real&comma; los investigadores se pusieron inmediatamente en contacto con Paradox&period;ai&comma; que publicó un comunicado explicando que &&num;8220&semi;solo una pequeña parte de los registros accedidos por los investigadores contenía información personal&&num;8221&semi; y que &&num;8220&semi;la cuenta &OpenCurlyQuote;123456’ que expuso estos datos no había sido accedida por nadie más que los investigadores&&num;8221&semi;&period; Además&comma; explicaba que la credencial comprometida se trataba de una cuenta de prueba que &&num;8220&semi;no había sido utilizada desde 2019 y&comma; francamente&comma; debería haber sido desactivada&&num;8221&semi;&period;<&sol;p>&NewLine;<p>McDonald’s responsabilizó a su proveedor asegurando que &&num;8220&semi;estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor externo&comma; Paradox&period;ai&period; Tan pronto como supimos del problema&comma; ordenamos a Paradox&period;ai que lo solucionara&comma; y se resolvió el mismo día en que se nos informó&&num;8221&semi;&period;<&sol;p>&NewLine;<p>Paradox&period;ai también&comma; anunció la puesta en marcha de un programa de recompensas por errores&comma; para identificar vulnerabilidades de manera más efectiva en el futuro y ofrecer una retribución económica a quien detecte nuevas vulnerabilidades para corregirlas&period;<&sol;p>&NewLine;<p>IA sin vigilancia&period; El contexto laboral hace que los datos expuestos sean especialmente atractivos para los ciberdelincuentes&comma; lo que pone de manifiesto la importancia de proveer de capas de seguridad adicional a los chatbots basados en IA que gestionan datos tan sensibles&period;<&sol;p>&NewLine;<p>&&num;8220&semi;Si alguien hubiera explotado esto&comma; el riesgo de phishing habría sido realmente enorme&period; No se trata solo de información personal identificable y currículums&period; Es esa información de personas que buscan trabajo en McDonald’s&comma; personas que están esperando con ansias correos electrónicos de respuesta&&num;8221&semi;&comma; señalaban los investigadores&period;<&sol;p>&NewLine;<p>En Xataka &vert; Builder&period;ai prometía revolucionar la programación con su IA&period; En realidad había 700 indios detrás picando código<&sol;p>&NewLine;<p>Imagen &vert; Wikimedia Commons &lpar;Dirk Tussing&rpar;<&sol;p>&NewLine;<p> &&num;8211&semi; La noticia<&sol;p>&NewLine;<p> McDonald&&num;8217&semi;s usó un chatbot con IA para reclutar a nuevos empleados&period; A alguien le pareció que &&num;8216&semi;123456&&num;8217&semi; era una contraseña segura <&sol;p>&NewLine;<p> fue publicada originalmente en<&sol;p>&NewLine;<p> Xataka <&sol;p>&NewLine;<p> por<br &sol;>&NewLine; Rubén Andrés<&sol;p>&NewLine;<p> &period;   <&sol;p>&NewLine;<p>&ZeroWidthSpace;   <&sol;p>&NewLine;<p>&ZeroWidthSpace; <&sol;p>&NewLine;