Todos sabemos (o deberíamos saber) lo importante que es usar contraseñas seguras para proteger nuestras cuentas en Internet. Pero a veces, incluso las grandes empresas cometen errores básicos. Esta vez, el problema ha sido nada menos que con McDonald’s.
Recientemente se ha descubierto una brecha de seguridad que dejó expuestos millones de chats de solicitantes de empleo. ¿El motivo? Una contraseña tan débil que cuesta creerlo: “123456”. Sí, tal cual. Esa era la clave utilizada en el panel de administración del chatbot encargado de gestionar solicitudes de trabajo.
En total, se han visto comprometidas más de 64 millones de conversaciones a través de McHire, la plataforma que McDonald’s utiliza para automatizar su proceso de selección. Y para empeorar las cosas, tanto el usuario como la contraseña eran “123456”. Difícil de creer, pero cierto.
Esto pone sobre la mesa lo importante que es revisar de vez en cuando si nuestras credenciales han sido expuestas. Especialmente si alguna vez enviaste tu currículum a través de esta plataforma, nunca está de más comprobar si tu correo o contraseña han aparecido en alguna filtración.
La puerta trasera que nadie cerró
La filtración no vino de un ataque sofisticado ni de un exploit avanzado. En realidad, fue algo mucho más básico, casi de manual. Todo apunta a una mala configuración en McHire, una plataforma desarrollada por Paradox.ai, empresa especializada en chatbots de recursos humanos. Este sistema, utilizado por gigantes como McDonald’s, está diseñado para facilitar la contratación mediante su asistente virtual estrella: Olivia.
Olivia acompaña a los aspirantes en todo el proceso de selección: desde completar datos personales, seleccionar horarios disponibles, hasta realizar pruebas de personalidad. Todo, en teoría, para hacer el proceso más ágil y eficiente.
Pero no todo funcionaba como se esperaba. Según explican los investigadores Dan Carroll y Sam Curry en un informe técnico, su interés inicial no era encontrar una gran brecha de seguridad. Todo comenzó por simple curiosidad, tras leer quejas en Reddit sobre el mal funcionamiento de Olivia: respuestas incoherentes, procesos largos y entrevistas frustradas.
Decidieron echar un vistazo técnico para comprobar si el sistema, además de poco útil, era también inseguro. Y lo que encontraron fue preocupante.
Primero, encontraron que el panel de administración de McHire, diseñado para que los franquiciados de McDonald’s gestionen las solicitudes, aceptaba las credenciales por defecto “123456:123456”. Sí, en pleno 2025, una clave que no debería usarse ni en una cuenta de prueba seguía activa en un entorno real.
Segundo, detectaron un tipo de vulnerabilidad conocida como IDOR (Insecure Direct Object Reference) en una API interna. ¿Qué significa eso? Básicamente, que bastaba con cambiar un número en una URL o solicitud (llamado lead_id) para ver la información privada de otros solicitantes, sin que el sistema verificara si el usuario tenía permisos para acceder a esos datos.
“Combinando ambos errores, cualquiera con una cuenta de McHire y acceso a una bandeja de entrada podía recuperar información personal de más de 64 millones de personas”, explicó Carroll.
Este tipo de vulnerabilidad es grave porque no requiere conocimientos avanzados para explotarse. Modificar un número en una solicitud era suficiente para acceder a los datos confidenciales de otros candidatos, ya que la API no tenía controles adecuados de autorización.
Dicho de otra forma: cualquier persona con acceso a una cuenta básica de McHire podía manipular los identificadores y obtener datos confidenciales de otros candidatos. Sin necesidad de ser hacker, sin romper ningún cifrado. Solo cambiando números. Una puerta trasera abierta… y nadie se molestó en cerrarla.
Explotando el error IDOR para ver las solicitudes de empleo de McDonald's
Podría interesarte leer: Cuatro Errores Fatales de Contraseñas que Benefician a Hackers
¿Qué hicieron McDonald's y Paradox.ai al respecto?
El fallo fue reportado a Paradox.ai y a McDonald's el 30 de junio. La reacción fue rápida: McDonald's respondió al informe en menos de una hora, y poco después ya habían desactivado las credenciales predeterminadas que dejaban abierto el acceso al panel de administración.
En un comunicado oficial, McDonald’s dejó clara su postura:
“Estamos decepcionados por esta vulnerabilidad inaceptable en un proveedor externo, Paradox.ai. Tan pronto como se nos informó, ordenamos que se solucionara de inmediato y el problema fue resuelto ese mismo día.”
Por su parte, Paradox (la empresa detrás del chatbot Olivia y la plataforma McHire) implementó un parche para corregir la vulnerabilidad de tipo IDOR y aseguró que ya se encuentra mitigada. También confirmaron que iniciaron una revisión exhaustiva de sus sistemas de seguridad para evitar que algo similar vuelva a ocurrir en el futuro.
Además, explicaron que la información expuesta incluía interacciones del chatbot, como clics en botones o respuestas automáticas, incluso en casos donde los usuarios no llegaron a ingresar datos personales. Aun así, la cantidad de datos potencialmente accesibles y el contexto sensible hacen que la situación sea más que preocupante.