Acceden a los datos de 64 millones de aspirantes a trabajar en McDonald's: un chatbot de IA los protegía con la contraseña 123456

Imagen generada con IA

Si has llevado a cabo una entrevista de trabajo en McDonald's en 2025 a través de su chatbot Olivia, tus datos personales han estado expuestos a cualquier curioso. La contraseña es de risa.

Es bastante cuestionable que una entrevista de trabajo, en donde las personas se juegan su futuro, se lleve a cabo con un frío e impersonal chatbot de inteligencia artificial. Pero lo que resulta incompresible es que los datos personales, y toda la entrevista, se guarden en un fichero de texto con la contraseña 123456. Es lo que ha ocurrido con la cadena de restaurantes McDonald's.

En este fichero de texto se almacenaban el nombre, teléfono, email, dirección física y otra información personal, así como la entrevista completa, de más de 64 millones de personas que han pedido trabajar en la popular franquicia de comida rápida, a lo largo de 2025.

Por suerte, la grave negligencia la ha descubierto un experto en seguridad, y no un ciberdelincuente. Que se sepa, los datos no han sido robados. ¿Cómo ha podido ocurrir?

Un chatbot de IA que de inteligente tiene poco

El 90% de las entrevistas de trabajo de la multinacional McDonald's las lleva a cabo un chatbot de IA llamado Olivia, desarrollado por la empresa Paradox.ai.

Este chatbot recoge los datos personales del solicitante, y lleva a cabo algunas preguntas básicas de tipo psicológico para determinar su personalidad. Después esta información es supervisada por empleados humanos.

Al parecer, este chatbot de McDonald's es bastante malo. En Reddit hay conversaciones surrealistas, como una en la que envía al solicitante de empleo a una web, que le devuelve al chatbot. Cuando trata de explicárselo, la inteligencia artificial se lía y responde cosas sin sentido.

Según cuenta en su web el investigador de seguridad Ian Carroll, en la página de empleo los solicitantes crean una cuenta propia para hablar con el chatbot. Sin embargo, también hay un enlace en un texto pequeño para iniciar sesión como empleado de Paradox.

Para su sorpresa, Ian pudo entrar en esta cuenta usando como nombre de usuario y contraseña, la cadena "123456".

Según explica TechSpot, tras descubrir una API en el código del sitio, Carroll disminuyó el parámetro principal de una solicitud XHR para un chat de prueba, lo que permitió acceder al historial de chat de Olivia con 64 millones de solicitantes. Además de datos personales, la filtración también revela tokens de autenticación y cambios en la situación laboral.

Cuanto intentó comunicarse con Paradox para comentarle la brecha de seguridad, no encontró forma de contacto. Tras enviar emails a "gente aleatoria", finalmente pudo contactar con ellos. Ya han corregido el problema... que básicamente es elegir una contraseña robusta, y encriptar los datos personales y los chats...

En 2025 parece incompresible que un simple usuario individual siga usando la contraseña 123456. Pero ocurre incluso en grandes empresas como McDonald's, cuando se trata de proteger los datos personales de los aspirantes a un puesto de trabajo, recopilados por su chatbot Olivia.

Más información sobre: