El bot de contratación con IA de McDonald’s expuso los datos de millones de aspirantes a hackers que usaron la contraseña ‘123456’

Un fallo de seguridad dejó expuestos los datos personales de más de 64 millones de personas que postularon a empleos en McDonald’s mediante su chatbot Olivia, creado por Paradox.ai. Investigadores revelaron que bastaba una contraseña tan básica como «123456» para acceder a los registros. El caso encendió alarmas sobre cómo se gestionan los datos en procesos de selección automatizados.

Una brecha descubierta casi por accidente

Lo que comenzó como simple curiosidad terminó en un hallazgo preocupante. Ian Carroll y Sam Curry, investigadores de seguridad en EE. UU., decidieron explorar el funcionamiento de Olivia tras ver múltiples quejas en Reddit sobre sus respuestas incoherentes. En solo unas horas, encontraron que el sistema McHire, usado por franquiciados de McDonald’s para gestionar postulaciones, permitía el acceso con credenciales predeterminadas: 123456:123456.

Este descuido les permitió ingresar a una cuenta de prueba inactiva desde 2019, sin ninguna medida de seguridad adicional. A través de ella, pudieron ver nombres, correos, teléfonos, direcciones IP y formularios de miles de aspirantes. Según sus propias palabras, obtuvieron acceso a prácticamente todas las solicitudes laborales enviadas a McDonald’s en años recientes.

El incidente no solo revela una grave negligencia en ciberseguridad, sino también la falta de supervisión activa en herramientas clave de recursos humanos. Dejar abierta una puerta tan evidente demuestra cómo la automatización puede volverse un riesgo cuando se implementa sin controles básicos.

El lado más frío del reclutamiento automatizado

Más allá del fallo técnico, los investigadores advirtieron sobre la experiencia deshumanizante que representa el proceso automatizado con Olivia. Este chatbot no solo recoge datos básicos, también aplica pruebas de personalidad con preguntas que reducen al postulante a respuestas binarias. Frases como “disfruta hacer horas extra” debían marcarse como “Me representa” o “No me representa”, dejando entrever una fórmula para responder “correctamente”.

Carroll y Curry notaron que bastaba con seleccionar “Me representa” en frases alineadas con la visión corporativa para tener mejores probabilidades. Aunque el patrón era evidente, la mecánica resulta inquietante: se busca encajar en un molde prediseñado, minimizando matices y autenticidad.

El propio Carroll lo resumió como un proceso “particularmente distópico”. En lugar de evaluar verdaderamente a los candidatos, el sistema parece enfocado en moldear comportamientos según criterios automatizados. Esta lógica, más cercana a un test algorítmico que a una entrevista real, genera una sensación de frialdad y desconexión, especialmente en personas que buscan su primer empleo o una oportunidad urgente.

La reacción de Paradox.ai y McDonald’s

Tras ser notificados, Paradox.ai publicó un comunicado en el que confirmó la vulnerabilidad y explicó que se trataba de una cuenta de prueba con una “contraseña heredada” que nunca fue desactivada. Aseguraron que el acceso fue exclusivo de los investigadores y que el incidente fue resuelto pocas horas después del aviso. También reconocieron que esa cuenta no había sido usada desde 2019 y que debió haber sido eliminada.

McDonald’s Australia, donde Olivia también opera, expresó su decepción ante el incidente, señalando que se trató de un fallo de un proveedor externo. Indicaron que exigieron la corrección inmediata del error y reafirmaron su compromiso con la protección de los datos de los postulantes. La empresa emplea a más de 100.000 personas solo en ese país, lo que pone en perspectiva la magnitud del alcance.

Aunque la información expuesta no era extremadamente sensible, los investigadores advirtieron que podía ser utilizada en estafas de suplantación de identidad. En un contexto donde los aspirantes esperan respuestas ansiosamente, el uso indebido de estos datos podría tener consecuencias significativas.

El caso de Olivia evidencia los riesgos de delegar procesos humanos a sistemas automatizados sin garantizar su seguridad ni su ética. Una contraseña olvidada dejó al descubierto millones de datos personales y mostró cómo el enfoque despersonalizado en la contratación puede vulnerar tanto la privacidad como la dignidad de los aspirantes. Automatizar no debe ser sinónimo de descuidar. La tecnología debe estar al servicio de las personas, no al revés.