AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Vulnerabilidad crítica en McHire expone datos de 64 millones de solicitudes de empleo en McDonald’s**

admin

### Introducción

Un reciente hallazgo por parte de un grupo de investigadores de ciberseguridad ha puesto en entredicho la seguridad de los procesos de selección digitalizados. La plataforma McHire, utilizada por McDonald’s para la gestión automatizada de sus solicitudes de empleo en Estados Unidos, ha sido víctima de una vulnerabilidad significativa. Este fallo ha dejado al descubierto conversaciones y datos asociados a más de 64 millones de aplicaciones laborales, lo que supone uno de los mayores incidentes de exposición de datos en el sector de recursos humanos digitalizados.

### Contexto del Incidente

McHire es una plataforma SaaS (Software as a Service) desarrollada por Paradox.ai, ampliamente empleada por McDonald’s para automatizar y agilizar los procesos de reclutamiento mediante chatbots y asistentes virtuales. El sistema permite a los candidatos interactuar con el chatbot desde la web o dispositivos móviles, enviando información personal, experiencia laboral y documentación relevante.

Sin embargo, la adopción masiva de esta tecnología ha traído consigo nuevos vectores de ataque. La vulnerabilidad recientemente descubierta afectaba a la infraestructura de McHire en Estados Unidos, exponiendo chats y datos de millones de aplicaciones desde su despliegue inicial.

### Detalles Técnicos

El fallo, catalogado provisionalmente como CVE-2024-XXXX, reside en el controlador de autenticación de la API que gestiona las sesiones de chat entre candidatos y la plataforma. Investigadores han identificado que el endpoint `/conversations/{conversationId}` podía ser accedido sin autenticación robusta, permitiendo a actores no autorizados consultar el historial completo de conversaciones simplemente iterando identificadores de conversación válidos.

El método de ataque corresponde a la técnica IDOR (Insecure Direct Object Reference), ampliamente documentada en el marco MITRE ATT&CK bajo el identificador T1530 (Data from Cloud Storage Object). Los atacantes podrían automatizar la recolección de chats mediante scripts personalizados o herramientas como Burp Suite, Postman y, en fases más avanzadas, integrarlo en frameworks de explotación como Metasploit para exfiltración masiva.

Indicadores de Compromiso (IoC) incluyen patrones de tráfico anómalos hacia los endpoints de la API, solicitudes repetitivas con diferentes conversationId, y accesos desde direcciones IP no asociadas al entorno habitual de candidatos.

Algunos investigadores han demostrado la viabilidad del ataque con exploits de prueba de concepto (PoC), permitiendo la extracción de información sensible en menos de tres segundos por conversación.

### Impacto y Riesgos

La magnitud de la exposición es considerable: más de 64 millones de registros de aplicaciones laborales, muchos con datos personales (nombre, dirección, número de teléfono, correo electrónico, historial laboral, preguntas de entrevista y, en algunos casos, documentos adjuntos). Este tipo de información es altamente valorada en el mercado negro y puede facilitar ataques de ingeniería social, spear phishing o suplantación de identidad.

Desde una perspectiva de cumplimiento, la filtración vulnera la GDPR en la Unión Europea y la CCPA en California, así como los principios de minimización y transparencia recomendados en la directiva NIS2. El coste medio de una brecha de datos de este calibre, según el informe de IBM de 2023, ronda los 4,45 millones de dólares, aunque el impacto reputacional y las posibles sanciones regulatorias pueden incrementar significativamente esta cifra.

### Medidas de Mitigación y Recomendaciones

Tras la divulgación responsable, Paradox.ai desplegó un parche urgente reforzando la autenticación y autorización en los endpoints afectados. Se recomienda a todos los clientes de McHire:

– Verificar que se han aplicado los últimos parches de seguridad en la plataforma.
– Monitorizar los logs de acceso para detectar actividad inusual en los endpoints de conversación.
– Implementar mecanismos de rate-limiting y detección de scraping.
– Revisar y actualizar los acuerdos de tratamiento de datos con terceros, asegurando cláusulas de notificación temprana.
– Realizar auditorías periódicas de seguridad sobre las APIs expuestas.

Se aconseja también a los administradores de sistemas y responsables de seguridad realizar análisis forense en busca de posibles accesos no autorizados previos a la implementación del parche, así como endurecer las políticas de gestión de identidades y accesos (IAM).

### Opinión de Expertos

Especialistas en ciberseguridad, como Daniel Miessler y Troy Hunt, han señalado que la mayoría de las brechas en plataformas SaaS derivan de errores de autenticación y control de acceso en APIs. “El despliegue acelerado de chatbots y asistentes IA en procesos críticos debe ir acompañado de auditorías de seguridad continuas, especialmente en sistemas que manejan datos personales”, subraya Miessler.

Por su parte, expertos del SANS Institute advierten que los ataques por IDOR siguen siendo uno de los vectores más subestimados y que la revisión manual de endpoints es clave para prevenir exposiciones masivas.

### Implicaciones para Empresas y Usuarios

Para las organizaciones, este incidente evidencia la necesidad de evaluar exhaustivamente la seguridad de soluciones SaaS antes de su adopción, especialmente aquellas que gestionan información sensible o de cumplimiento regulatorio. Los equipos de seguridad deben involucrarse desde etapas tempranas en la selección y despliegue de plataformas, integrando pruebas de penetración y análisis de código en los contratos de servicio.

Para los usuarios, la brecha supone un recordatorio sobre el alcance de los datos personales compartidos con empresas y plataformas digitales. Se recomienda a los candidatos afectados permanecer alerta ante posibles intentos de phishing o fraudes relacionados.

### Conclusiones

La exposición de más de 64 millones de conversaciones en McHire pone de manifiesto los riesgos inherentes a la digitalización de procesos de selección y la externalización de servicios críticos a plataformas SaaS. La rápida respuesta de Paradox.ai ha contenido el incidente, pero la lección es clara: la seguridad de las APIs debe ser una prioridad absoluta en cualquier arquitectura moderna de gestión de datos. La colaboración entre proveedores, clientes y especialistas en ciberseguridad será clave para anticipar y mitigar futuras amenazas en el sector.

(Fuente: www.bleepingcomputer.com)