NUEVO¡Ahora puedes escuchar artículos de Fox News!

Muchas empresas ahora confían en la IA para manejar partes del proceso de contratación. La pantalla de bots se reanuda, filtra a los candidatos y gestiona la comunicación preliminar antes de entrar un humano. McDonald’s utiliza una plataforma de contratación con AI llamada MCHIRE, que funciona con el chatbot de Paradox.ai, Olivia, para optimizar su proceso de reclutamiento.

Si bien la IA trae conveniencia, también viene con riesgos de privacidad de datos. Esto quedó claro cuando dos investigadores de seguridad revelaron responsablemente una vulnerabilidad crítica que expuso un pequeño número de registros de candidatos, a pesar de que algunos informes tempranos sugirieron una violación mucho mayor.

Regístrese para mi informe gratuito de Cyberguy
Obtenga mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas entregadas directamente a su bandeja de entrada. Además, obtendrá acceso instantáneo a mi guía de supervivencia de estafa definitiva, gratis cuando se une a mi Cyberguy.com/newsletter

Cómo los chatbots de IA están ayudando a los piratas informáticos a apuntar a sus cuentas bancarias

Un signo de McDonald’s (Kurt “Cyberguy” Knutsson)

¿Qué encontraron los investigadores en la plataforma de contratación de AI de McDonald’s?

El 30 de junio de 2025, los investigadores de seguridad Ian Carroll y Sam Curry descubrieron una vulnerabilidad en una cuenta de prueba paradoja. Utilizando credenciales débiles y obsoletas, accedieron a un portal de prueba y descubrieron un punto final API no autenticado vinculado a los registros de interacción de chat.

Recuperaron siete registros de chat, cinco de los cuales incluían información candidata basada en los Estados Unidos, como:

  • Nombres completos
  • Direcciones de correo electrónico
  • Números de teléfono
  • Direcciones IP

Los dos registros restantes no incluían datos personales. En particular, no se expusieron las solicitudes de empleo completas, los números de seguro social o la información financiera, y los campos confidenciales permanecieron protegidos.

Restaurante MCD's

Un signo de McDonald’s (Kurt “Cyberguy” Knutsson)

Paradox.ai confirma el alcance de la vulnerabilidad de seguridad

Paradox.ai respondió rápidamente, deshabilitando la cuenta de prueba de inmediato y parcheando el punto final expuesto a las pocas horas posteriores a la notificación. En una declaración pública, la compañía confirmó que solo se accedieron a cinco registros candidatos que contenían información personal, y solo por los dos investigadores que revelaron éticamente el problema.

La compañía afirma que el incidente impactó solo a un cliente de paradoja, que se cree que es McDonald’s, y ninguna otra paradoja. Los clientes o sistemas se vieron afectados. No hay evidencia de acceso malicioso o de que los datos se hayan filtrado o se hayan filtrado públicamente. La compañía continuó diciendo que “estamos seguros de que, según nuestros registros, esta cuenta de prueba no fue accedida por un tercero que no sea los investigadores de seguridad”.

¿Qué es la inteligencia artificial (AI)?

Lo que McDonald’s y Paradox.ai están haciendo ahora

Paradox.ai admitió que la cuenta de prueba, establecida antes de 2019, debería haber sido desmantelada, y que las credenciales heredadas ya no cumplan con los estándares de contraseña actuales. En respuesta al incidente, la compañía tiene:

  • Revocó las credenciales de la cuenta de prueba heredada
  • Desplegó un parche para cerrar el punto final vulnerable
  • Lanzó un programa de recompensa de errores
  • Se agregó un contacto público para preocupaciones de seguridad en Security@paradox.ai

En respuesta, McDonald’s emitió una declaración:

“Estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor de terceros, Paradox.ai. Tan como supimos del problema, ordenamos a Paradox.ai que remediara el problema de inmediato, y se resolvió el mismo día en que se nos informó. Tomamos nuestro compromiso con la seguridad cibernética y continuaremos siendo responsables de nuestros proveedores de terceros responsables para cumplir con nuestros estándares de protección de datos”.

restaurante McDonald's

Un signo de McDonald’s (Kurt “Cyberguy” Knutsson)

¿Fueron realmente 64 millones de solicitudes de empleo?

Los primeros informes sugirieron que la vulnerabilidad podría haber expuesto hasta 64 millones de solicitudes de empleo. Sin embargo, los investigadores nunca confirmaron este número y la investigación de Paradox.AI no encontró ninguna indicación de que se produjera el raspado de datos a gran escala. Los únicos registros accedidos fueron las siete muestras de chat sacadas por los investigadores para verificar el problema.

Nos comunicamos con Paradox.ai, y un representante nos dijo: “Nuestra publicación pública debería servir como la declaración oficial de Paradox. Proporciona contexto, así como alguna aclaración de las inexactitudes publicadas en otros medios”. De acuerdo con su declaración, Paradox.ai enfatizó que solo los investigadores de seguridad accedieron solo cinco registros candidatos que contenían información personal, y no hay evidencia de una violación masiva o cualquier datos que se hicieran públicos.

Si bien la vulnerabilidad subyacente era real, solo se accedió a un alcance de datos muy limitado, gracias a las acciones de los investigadores y la rápida respuesta del proveedor.

¿Podría estos datos se han usado maliciosamente?

Si bien los investigadores accedieron a la información personal en cinco registros, no hay evidencia de que los atacantes alguna vez exploten estos datos. Sin embargo, hipotéticamente, dichos datos podrían usarse para varias estafas, como:

  • Hacer pasar por reclutadores para recopilar más información personal
  • Entrega de correos electrónicos de phishing bajo la apariencia de incorporación
  • Dirigirse a los solicitantes de empleo con ofertas de trabajo falsas

La naturaleza de los datos expuestos lo hace sensible, incluso si el alcance era limitado.

Obtenga el negocio de Fox sobre la marcha haciendo clic aquí

6 pasos para proteger sus datos personales al usar plataformas de contratación en línea

La violación de MCHIRE muestra qué tan fácilmente se puede exponer la información personal cuando las herramientas de IA recopilan los datos de la aplicación de empleo. Estos seis pasos pueden ayudarlo a proteger su información antes, durante y después de aplicar.

1. Limite los datos personales que comparte

Solo comparta la información necesaria para completar la solicitud. No proporcione detalles confidenciales como su número de seguro social, información de la cuenta bancaria o la dirección de la casa completa a menos que esté seguro de que la plataforma es legítima y segura.

2. Obtenga un correo electrónico de alias para aplicaciones de empleo

Una dirección de correo electrónico de alias es una dirección de correo electrónico adicional que se puede usar para recibir correos electrónicos en el mismo buzón que la dirección de correo electrónico principal. Actúa como una dirección de reenvío, dirigiendo los correos electrónicos a la dirección de correo electrónico principal. También mantiene su búsqueda de trabajo organizada, te ayuda a detectar estafa Rápidamente y reduce el daño si una empresa maneja mal sus datos.

Vea mi revisión de los mejores servicios de correo electrónico seguros y privados en Cyberguy.com/mail

3. Verifique los https y las banderas rojas

Antes de completar cualquier formularios, consulte que la URL del sitio web comience con https: // y que el sitio se ve seguro y profesional. Evite las plataformas o bots que hacen preguntas vagas o repetitivas o lo redirigen sin una razón clara

4. Considere un servicio de eliminación de datos

Incidentes como Mchire Breach muestran la facilidad con la que los datos personales pueden estar expuestos, incluso cuando cree que solo está solicitando un trabajo. Un servicio de recuperación de datos ayuda a reducir su huella en línea escaneando cientos de sitios de corredores de datos y solicitando la eliminación de su información. Esto reduce el riesgo de que sus datos personales se filtren, se exploten en estafas de phishing o se usen para suplantación.

Si bien ningún servicio promete eliminar todos sus datos de Internet, tener un servicio de eliminación es excelente si desea monitorear y automatizar constantemente el proceso de eliminar su información de cientos de sitios continuamente durante un período de tiempo más largo.

Consulte mis mejores selecciones para obtener servicios de eliminación de datos y obtenga un escaneo gratuito para averiguar si su información personal ya está disponible en la web visitando Cyberguy.com/delete

Obtenga un escaneo gratuito para averiguar si su información personal ya está en la web: Cyberguy.com/freescan

5. Use contraseñas fuertes y únicas para cuentas de búsqueda de empleo

Si crea cuentas en plataformas de contratación, evite reutilizar contraseñas de otros servicios. Una contraseña débil o reutilizada puede facilitar que los atacantes comprometan sus datos si se infringe un sitio. Considere usar un administrador de contraseñas para generar y almacenar contraseñas seguras.

Consulte los mejores administradores de contraseñas revisados por expertos de 2025 en Cyberguy.com/passwords

6. Monitorear los signos de mal uso de identidad o mensajes de estafa

Después de solicitar trabajos, manténgase alerta por correos electrónicos o mensajes de texto que parezcan “desactivados”. Los estafadores a menudo usan datos filtrados para hacerse pasar por reclutadores o empleadores, especialmente después de infracciones de alto perfil. Esté atento a las solicitudes de incorporación o mensajes falsos que solicitan información confidencial como datos bancarios o ID. En caso de duda, verifique directamente con la empresa.

Haga clic aquí para obtener la aplicación Fox News

Takeaway de la llave de Kurt

Este incidente fue un problema de seguridad grave pero limitado. Gracias a la divulgación responsable de los investigadores y la rápida respuesta de Paradox.Ai, la exposición estaba contenida a solo cinco registros de candidatos, y no se filtraron o se usaron datos personales. Dicho esto, el evento es un recordatorio: cuando la IA está involucrada en la contratación, la privacidad de los datos debe seguir siendo una preocupación principal. Incluso las pequeñas supervisiones, como una cuenta de prueba olvidada, pueden poner en riesgo los datos de las personas reales.

¿Cree que se necesita más transparencia de las empresas cuando sus datos están involucrados en el proceso de contratación? Háganos saber escribiéndonos en Cyberguy.com/contact

Regístrese para mi informe gratuito de Cyberguy
Obtenga mis mejores consejos tecnológicos, alertas de seguridad urgentes y ofertas exclusivas entregadas directamente a su bandeja de entrada. Además, obtendrá acceso instantáneo a mi guía de supervivencia de estafa definitiva, gratis cuando se une a mi Cyberguy.com/newsletter

Copyright 2025 cyberguy.com. Reservados todos los derechos.

Kurt “Cyberguy” Knutsson es un periodista tecnológico galardonado que tiene un profundo amor por la tecnología, el equipo y los dispositivos que mejoran la vida con sus contribuciones para Fox News & Fox Business Comenzing Mornings en “Fox & Friends”. ¿Tienes una pregunta tecnológica? Obtenga el boletín gratuito de Cyberguy de Kurt, comparta su voz, una idea de la historia o comenta en cyberguy.com.

Enlace fuente

RELATED ARTICLESMORE FROM AUTHOR