Las preocupaciones de seguridad vuelven a surgir en la industria del reclutamiento por inteligencia artificial. Paradox.ai, una empresa que ofrece chatbots de contratación impulsados por IA y utilizados por grandes marcas a nivel mundial, ha sido señalada en un incidente de exposición de datos significativo — y todo apunta a una mala gestión de contraseñas.

Los investigadores de seguridad Ian Carroll y Sam Curry revelaron que la cadena de comida rápida McDonald’s utilizó una contraseña alarmantemente débil —“123456”— para proteger una cuenta de prueba en la plataforma de Paradox.ai. Esta falla permitió el acceso no autorizado a más de 64 millones de registros, incluyendo nombres, correos electrónicos y números telefónicos de solicitantes de empleo.

Paradox.ai reconoció el problema, subrayando que no se expuso información sensible como números de seguridad social, y que la cuenta comprometida estaba inactiva desde 2019. En una declaración pública, la empresa insistió en que la vulnerabilidad solo afectó un entorno de prueba y afirmó que ningún tercero accedió a él aparte de los investigadores.

Sin embargo, una investigación más profunda revela una realidad más compleja.

Según credenciales filtradas e indexadas por servicios de inteligencia de amenazas, un desarrollador de Paradox.ai con sede en Vietnam fue recientemente víctima del malware Nexus Stealer. Este infostealer extrajo cientos de credenciales — muchas de ellas utilizando contraseñas simples y repetidas — correspondientes a sistemas internos y servicios externos como Atlassian y Okta.

Lo más preocupante es que algunas de estas credenciales daban acceso a cuentas vinculadas con empresas de la lista Fortune 500, como Lockheed Martin, Aramark, Pepsi y Lowe’s. En un caso, la contraseña de una cuenta de inicio de sesión único (SSO) de Okta terminaba en “202506”, probablemente en referencia a la fecha del compromiso.

Aunque Paradox.ai sostiene que la mayoría de las credenciales expuestas ya no eran válidas o se migraron desde un dispositivo anterior, el análisis muestra que la brecha tenía el potencial de afectar a múltiples clientes debido al uso compartido o reciclaje de contraseñas en sistemas críticos.

Aún más grave, también se expusieron tokens de autenticación y cookies —algunos válidos hasta finales de 2025—, lo que podría permitir a atacantes eludir la autenticación multifactor.

Aunque Paradox.ai aprobó auditorías de seguridad bajo los estándares ISO 27001 y SOC 2 Tipo II en 2019, la exposición reciente sugiere deficiencias en las prácticas de seguridad, especialmente entre contratistas remotos. La empresa admitió que, en el momento de la auditoría, sus colaboradores externos no estaban sujetos a los mismos estándares de ciberseguridad que se aplicaban internamente — una política que, aseguran, ya fue corregida.

Un análisis de los registros de actividad web indica que los empleados afectados también habían descargado contenido multimedia pirata, una vía común para la propagación de malware disfrazado de códecs de video.

Lecciones aprendidas
Este incidente refuerza una verdad fundamental: incluso las plataformas más avanzadas son tan seguras como lo sean las credenciales y dispositivos utilizados para acceder a ellas. La mala gestión de contraseñas, la falta de protección en los endpoints y los entornos de desarrollo inseguros siguen exponiendo a las empresas a riesgos innecesarios.

Para las organizaciones que invierten en IA y automatización, asegurar políticas estrictas de credenciales, monitoreo de endpoints y capacitación en ciberseguridad para empleados —especialmente en entornos de trabajo remoto— es clave para mantener la confianza y proteger los datos de los usuarios.

Fuente: https://krebsonsecurity.com/2025/07/poor-passwords-tattle-on-ai-hiring-bot-maker-paradox-ai/#more-71668