Los investigadores de seguridad revelaron recientemente que la información personal de millones de personas que solicitaron empleos en McDonald’s se expusieron después de que adivinaron la contraseña («123456») para la cuenta de la cadena de comida rápida en Paradox.ai, una compañía que fabrica chatbots de contratación basados en inteligencia artificial utilizada por muchas empresas Fortune 500. Paradox.ai dijo que la supervisión de la seguridad fue un incidente aislado que no afectó a sus otros clientes, pero las infracciones de seguridad recientes que involucran a sus empleados en Vietnam cuentan una historia más matizada. Una captura de pantalla de la página de inicio de Paradox.AI que muestra su «Olivia» de chatbot de contratación de IA que interactúa con posibles contrataciones. A principios de este mes, los investigadores de seguridad Ian Carroll y Sam Curry escribieron sobre métodos simples que encontraron para acceder al backend de la plataforma AI Chatbot en MCHire.com, el sitio web de McDonald’s que muchos de sus franquiciados usan para evaluar a los solicitantes de empleo. Como informó por primera vez por Wired, los investigadores descubrieron que la contraseña débil utilizada por Paradox expuso 64 millones de registros, incluidos los nombres de los solicitantes, las direcciones de correo electrónico y los números de teléfono. Paradox.ai reconoció los hallazgos de los investigadores, pero dijo que las otras instancias de los clientes de la compañía no se vieron afectadas, y que no se expuso información confidencial, como los números de seguridad social. «Tenemos confianza, según nuestros registros, esta cuenta de prueba no fue accedida por un tercero que no sea los investigadores de seguridad», escribió la compañía en una publicación de blog del 9 de julio. «No se había iniciado sesión desde 2019 y, francamente, debería haber sido desmantelado. Queremos ser muy claros que, si bien los investigadores pueden haber tenido acceso brevemente al sistema que contenía todas las interacciones de chat (no aplicaciones laborales), solo vieron y descargaron cinco chats en total que tenían información de candidato dentro. Nuevamente, en ningún momento se filtró datos en línea o se hicieron públicos». Sin embargo, una revisión de los datos de contraseña robados recopilados por múltiples servicios de rastreo de incumplimiento muestra que a fines de junio de 2025, un administrador de paradoja en Vietnam sufrió un compromiso de malware en su dispositivo que robó nombres de usuario y contraseñas para una variedad de servicios en línea internos y de terceros. Los resultados no fueron bonitos. Los datos de contraseña del desarrollador Paradox.AI fueron robados por una cepa de malware conocida como «Nexus Stealer», un acumulador de formularios y robador de contraseñas que se vende en foros de cibercrimen. La información incrustada por robadores como Nexus a menudo se recupera e indexa por servicios de agregador de fugas de datos como Intelligence X, que informa que el malware en el dispositivo del desarrollador de paradoja. Esas credenciales robadas muestran que el desarrollador en cuestión en un momento utilizaron la misma contraseña de siete dígitos para iniciar sesión en Paradox.AI para una serie de empresas Fortune 500 que figuran como clientes en el sitio web de la compañía, incluidos Aramark, Lockheed Martin, Lowes y Pepsi. Las contraseñas de siete caracteres, particularmente aquellas que consisten completamente en números, son altamente vulnerables a los ataques de «fuerza bruta» que pueden probar una gran cantidad de posibles combinaciones de contraseñas en rápida sucesión. Según una guía de resistencia de contraseña muy referenciada mantenida por Hive Systems, los sistemas modernos de cracking de contraseña pueden resolver una contraseña de siete números más o menos al instante. Imagen: Hivesystems.com. En respuesta a las preguntas de Krebsonsecurity, Paradox.ai confirmó que los datos de la contraseña fueron robados recientemente por una infección por malware en el dispositivo personal de un desarrollador de paradoja desde hace mucho tiempo con sede en Vietnam, y dijo que la compañía se dio cuenta del compromiso poco después de que sucedió. Paradox sostiene que pocas de las contraseñas expuestas aún eran válidas, y que la mayoría de ellas estaban presentes en el dispositivo personal del empleado solo porque había migrado el contenido de un administrador de contraseñas de una computadora antigua. Paradox también señaló que ha requerido una autenticación de inicio de sesión único (SSO) desde 2020 que hace cumplir la autenticación multifactor para sus socios. Aún así, una revisión de las contraseñas expuestas muestra que incluyeron las credenciales del administrador vietnamita a la plataforma SSO de la compañía: paradoxai.okta.com. La contraseña de esa cuenta terminó en 202506, posiblemente una referencia al mes de junio de 2025, y la cookie digital dejada después de un exitoso inicio de sesión de OKTA con esas credenciales dice que fue válida hasta diciembre de 2025. También se expusieron las credenciales del administrador y las cookies de autenticación para una cuenta en Atlassian, una plataforma hecha para el desarrollo de software y la gestión de proyectos. La fecha de vencimiento de esa token de autenticación también fue en diciembre de 2025. Las infecciones por infotealeros se encuentran entre las principales causas de violaciones de datos y ataques de ransomware hoy, y dan como resultado el robo de contraseñas almacenadas y cualquier credencial los tipos de víctimas en un navegador. La mayoría de los malware del infoptealer también desviarán las cookies de autenticación almacenadas en el dispositivo de la víctima, y dependiendo de cómo se configuran esos tokens, los ladrones pueden usarlas para evitar las indicaciones de inicio de sesión y/o autenticación multifactor. Muy a menudo, estas infecciones por infostadores abrirán una puerta trasera en el dispositivo de la víctima que permite a los atacantes acceder a la máquina infectada de forma remota. De hecho, parece que el acceso remoto al dispositivo comprometido del administrador de la paradoja se ofreció a la venta recientemente. En febrero de 2019, Paradox.ai anunció que había completado con éxito auditorías para dos estándares de seguridad bastante completos (ISO 27001 y SOC 2 Tipo II). Mientras tanto, la divulgación de seguridad de la compañía este mes dice que la cuenta de prueba con el atrodo nombre de usuario y contraseña de 123456 se accedió por última vez en 2019, pero de alguna manera se perdió en sus pruebas anuales de penetración. Entonces, ¿cómo logró pasar auditorías de seguridad tan estrictas con estas prácticas en su lugar? Paradox.ai le dijo a Krebsonsecurity que en el momento de la auditoría de 2019, los diversos contratistas de la compañía no estaban detenidos a los mismos estándares de seguridad que la compañía practica internamente. Paradox enfatizó que esto ha cambiado y que ha actualizado sus requisitos de seguridad y contraseña varias veces desde entonces. No está claro cómo el desarrollador de paradoja en Vietnam infectó su computadora con malware, pero una revisión más cercana encuentra un dispositivo de Windows para otro empleado de Paradox.ai de Vietnam se vio comprometido por un malware similar de robo de datos a fines de 2024 (ese compromiso incluía las credenciales Github de la víctima). En el caso de ambos empleados, los datos de credenciales robados incluyen registros de navegadores web que indican que las víctimas descargaron repetidamente películas y programas de televisión pirateados, que a menudo se incluyen con malware disfrazado de un códec de video necesario para ver el contenido pirateado.