Ciberseguridad: una contraseña eficaz es la primera regla, pero demasiados aún la ignoran
Parece increíble que en 2025 se sigan utilizando contraseñas débiles, incluso extremadamente débiles, como «123456», y es aún más increíble que esto lo hiciera una plataforma de inteligencia artificial utilizada para contratar empleados de una multinacional conocida.
La empresa en cuestión es McDonald’s y la plataforma en cuestión se llama McHire, desarrollada por la empresa de inteligencia artificial Paradox.ai y se utilizaba para solicitudes de empleo para trabajar en la franquicia estadounidense.
La noticia es que para acceder y solicitar empleo, al parecer bastaba con introducir las credenciales “123456” como nombre de usuario y contraseña.
Dos investigadores, Ian Carrol y Sam Curry, descubrieron que los datos de 64 millones de personas eran fácilmente accesibles para cualquiera.
Carroll explica que se dio cuenta de este fallo preocupante porque tenía curiosidad por la decisión de McDonald’s de someter a los candidatos a una evaluación con chatbot de IA y una prueba de personalidad.
«Pensé», dijo, «que comparado con un proceso de contratación normal, era una elección bastante distópica. Y eso “s lo que me hizo querer investigar más. Así que empecé a solicitar un trabajo y después de 30 minutos tenía acceso a prácticamente todas las solicitudes enviadas a McDonald” s durante años y años.»
Aunque el acceso llevó a un panel con datos de empleados de Paradox.ai para un restaurante de «prueba» que no era real, los investigadores pudieron ver conversaciones del chatbot con otros candidatos.
Desde ahí, pudieron identificar “otra vulnerabilidad a través de una” API (Interfaz de Programación de Aplicaciones, un protocolo que permite a dos servicios informáticos diferentes comunicarse entre sí), que permitió a los dos investigadores descubrir también datos de candidatos sin cifrar: nombre, apellidos, número de teléfono, dirección de residencia, correo electrónico, etc.
Datos personales y sensibles multiplicados por 64 millones, todos los que habían accedido a la plataforma. Un premio muy rico y fácil para cualquier actor malicioso.
El problema se comunicó inmediatamente a McDonald’s y Paradox.ai el mismo día que se descubrió, el pasado 30 de junio. Poco después, se eliminaron las credenciales «123456» y para el 7 de julio, todos los problemas se resolvieron según la empresa de IA.
En una declaración a Wired, McDonald’s “declaró”: “Estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor externo, Paradox.ai. Tan pronto como nos enteramos, dirigimos a la” empresa para que la solucionara inmediatamente y el problema se resolvió el mismo día que nos lo comunicaron.
Paradox.ai, por su parte, trató de minimizar el daño sin ocultar sus responsabilidades.
Según las investigaciones internas de la empresa “, el panel de prueba al que accedieron los dos investigadores no se había utilizado desde 2019 y sí, debería haber sido desactivado, pero nadie además de los investigadores lo había usado nunca. Tras el incidente, también se lanzó un programa de recompensas por errores, una iniciativa que recompensa económicamente a investigadores como Carroll y Curry que identifican fallos de seguridad y luego los comparten con la propia empresa.”
Pero este caso de McDonald’s es solo el último de una serie de incidentes similares.
Por ejemplo, entre los casos más llamativos estuvo el del Departamento del Interior de EE.UU., donde en 2023, tras una investigación interna, se descubrió que la contraseña más utilizada en las oficinas era “Password-1234”, lo que permitió comprometer las cuentas de 14.000 empleados en solo 90 minutos.
O el acto demostrativo de hace unos años que permitió a los hackers vulnerar un petrolero que navegaba por el mar Adriático en solo 10 minutos porque protegía sus sistemas con la contraseña “1234”.
La “lista podría continuar, pero estos pocos ejemplos son suficientes para reiterar que, a pesar de todas las campañas de ciberseguridad, todavía” hay mucha inconsciencia y descuido a nivel global en cómo usamos la red. Y la responsabilidad, al final, siempre recae en el factor humano que a menudo subestima los principios básicos de protección por descuido.
En los casos enumerados en este artículo, estamos hablando de la primera regla de seguridad “”: elegir una contraseña eficaz y cambiarla frecuentemente. No seguir esta regla muestra no solo descuido sino también una conciencia pobre, por no decir extremadamente pobre, de los riesgos de la red, por tanto una postura digital que ciertamente no es adecuada para los tiempos que vivimos.
Hoy, las técnicas de defensa deben pasar no solo por la tecnología sino también por el desarrollo de una verdadera cultura de ciberseguridad que debe convertirse en parte integral de nuestras vidas privadas y profesionales.
En resumen, una postura digital adecuada debería convertirse cada vez más en un elemento inherente en cada individuo, adquirido desde una edad temprana.
Por eso sería importante enseñarla en las escuelas, y quizás lleguemos ahí en un futuro no muy lejano. Mientras tanto, como ya no podemos permitirnos quedarnos atrás o rezagarnos respecto a una tecnología que se mueve tan rápidamente, es “necesario seguir excelentes itinerarios formativos que se actualicen continuamente sobre los últimos desarrollos criminales e incluyan ejercicios prácticos y formación personalizada.”
Considerando que el factor humano sigue siendo el más vulnerable, la formación, el tipo correcto de formación, sigue siendo la única manera de protegernos, tanto en la vida privada como profesional.
