¿Cómo obtuvieron los atacantes acceso a los datos de Mercor?

Los atacantes utilizaron un ataque a la cadena de suministro apuntando contra LiteLLM, una biblioteca de código abierto de la que Mercor y otras empresas de IA dependen, en lugar de atacar directamente a Mercor.

¿Qué grupos de hackers fueron señalados como responsables del ataque?

Los grupos de hackers TeamPCP y Lapsus$ fueron señalados como responsables, siendo Lapsus$ un grupo con un historial documentado de intrusiones de alto perfil contra grandes empresas tecnológicas.

¿Por qué se considera que perder datos biométricos es más peligroso que perder contraseñas o números de tarjetas de crédito?

A diferencia de las contraseñas o los números de tarjetas de crédito, los datos biométricos como el rostro, la voz y las huellas dactilares no pueden modificarse ni reemitirse, lo que significa que una vez que los datos quedan expuestos están comprometidos de forma permanente.

¿Qué ha hecho Meta en respuesta a la filtración de Mercor?

Meta, que había estado trabajando con Mercor, supuestamente suspendió su colaboración con la empresa tras conocerse la noticia de la filtración.

La filtración de datos de Mercor expone datos biométricos y documentos de identidad

Q: ¿Qué tipo de datos quedaron expuestos en la filtración de Mercor?

La filtración expuso documentos de identidad emitidos por el gobierno, datos biométricos faciales y biométricos de voz pertenecientes a los usuarios de Mercor.

La startup de IA Mercor sufre una importante filtración de datos biométricos

Mercor, una plataforma de inteligencia artificial para reclutamiento y gestión de personal valorada en 10.000 millones de dólares, ha sufrido una importante filtración de datos que expuso algunos de los datos personales más sensibles que se pueden imaginar: documentos de identidad emitidos por el gobierno, datos biométricos faciales y biométricos de voz pertenecientes a sus usuarios. El incidente ha atraído una atención generalizada no solo por la naturaleza de los datos robados, sino también por la forma en que ocurrió y las consecuencias que podría tener para las personas afectadas.

El incidente está relacionado con un ataque a la cadena de suministro dirigido contra LiteLLM, una biblioteca de código abierto ampliamente utilizada que ayuda a los desarrolladores a integrar grandes modelos de lenguaje en sus aplicaciones. Cuando una dependencia tan fundamental se ve comprometida, el daño puede propagarse a docenas o cientos de empresas que dependen de ella. En este caso, Mercor parece estar entre las víctimas. Los grupos de hackers TeamPCP y Lapsus$ han sido señalados como responsables del ataque. Lapsus$ es un grupo con un historial bien documentado de intrusiones de alto perfil contra grandes empresas tecnológicas.

Meta, que había estado trabajando con Mercor, ha suspendido supuestamente esa colaboración tras conocerse la noticia de la filtración.

Por qué las filtraciones de datos biométricos son especialmente peligrosas

No todas las filtraciones de datos conllevan el mismo riesgo. Cuando se roba una contraseña, se puede cambiar. Cuando se expone un número de tarjeta de crédito, el banco puede emitir uno nuevo. Los datos biométricos son diferentes. Tu rostro, tu voz y tus huellas dactilares no pueden ser reemitidos. Una vez que esos datos están expuestos, lo están de forma permanente.

Esto es lo que hace que la filtración de Mercor sea especialmente grave. Los datos biométricos faciales combinados con documentos de identidad emitidos por el gobierno proporcionan a los actores maliciosos un conjunto de herramientas extraordinariamente poderoso para el fraude de identidad. Más concretamente, crean las condiciones ideales para el fraude mediante deepfakes, donde los medios sintéticos generados por IA se utilizan para suplantar a personas reales. Los atacantes podrían usar imágenes faciales robadas y grabaciones de voz para superar verificaciones de identidad, abrir cuentas financieras fraudulentas o suplantar a individuos en videollamadas y entrevistas.

La tecnología deepfake ha avanzado rápidamente, y la barrera para crear medios sintéticos convincentes ha caído de forma significativa. Cuando se dispone de material fuente de alta calidad, como los datos biométricos reales de una persona, los resultados se vuelven aún más convincentes y difíciles de detectar.

La vulnerabilidad en la cadena de suministro en el centro de esta filtración

Uno de los aspectos más importantes de este incidente es el vector de ataque: una vulneración de la cadena de suministro. En lugar de atacar directamente a Mercor, los actores de la amenaza apuntaron contra LiteLLM, una biblioteca de la que Mercor y muchas otras empresas de IA dependen. Esta es una estrategia de ataque bien establecida y cada vez más frecuente.

Los ataques a la cadena de suministro son difíciles de defenderse porque explotan la confianza. Cuando una empresa integra una biblioteca de código abierto, confía intrínsecamente en que el código es limpio. Inyectar código malicioso a nivel de biblioteca significa que cualquier empresa que incorpore actualizaciones podría instalar inadvertidamente una puerta trasera o un componente de recopilación de datos.

Esta filtración sirve como recordatorio de que la postura de seguridad de una organización es tan fuerte como el eslabón más débil de sus dependencias de software. Para los usuarios, pone de manifiesto que sus datos pueden quedar en riesgo por decisiones tomadas a varios niveles de distancia de la empresa a la que realmente le entregaron esos datos.

Qué significa esto para ti

Si has utilizado la plataforma de Mercor y has enviado documentos de verificación de identidad o has participado en alguna recopilación de datos biométricos, debes considerar que tus datos de identidad están potencialmente comprometidos. Esto es lo que puedes hacer ahora mismo:

Monitorea posibles fraudes de identidad. Configura alertas con tu banco y entidades financieras, y revisa tus informes de crédito en busca de actividad inusual.
Sé precavido con las verificaciones de identidad por vídeo. Si alguien afirma ser tú en un contexto de verificación por vídeo, esa afirmación ahora es más fácil de falsificar mediante herramientas de deepfake.
Cuestiona los contactos no solicitados. Los estafadores que dispongan de tus datos de identidad pueden intentar ataques de phishing que parezcan inusualmente legítimos porque ya conocen detalles sobre ti.
Limita el intercambio de datos biométricos en el futuro. Sé selectivo respecto a los servicios a los que proporcionas escaneos faciales, grabaciones de voz o documentos de identidad. Pregúntate si el servicio realmente requiere ese nivel de datos.
Usa credenciales únicas y seguras en todas partes. Aunque las contraseñas por sí solas no pueden proteger los datos biométricos, reducir tu superficie de ataque general siempre merece la pena.
Cifra tus comunicaciones. Usar una VPN al conectarte a servicios, especialmente a través de redes públicas o no confiables, reduce el riesgo de interceptación adicional de datos.

La filtración de Mercor es una clara ilustración de por qué el almacenamiento centralizado de datos biométricos altamente sensibles genera un riesgo concentrado. Cuando una sola empresa almacena escaneos faciales, huellas de voz y documentos de identidad de un gran número de personas, un único ataque exitoso puede tener consecuencias que se prolonguen durante años.

Mantenerse informado sobre las filtraciones que afectan a los servicios que utilizas, comprender qué datos has compartido con qué plataformas y adoptar un enfoque proactivo respecto a tu identidad digital son algunos de los pasos más prácticos que puedes tomar. Las filtraciones de datos no van a desaparecer, pero cuanto más sepas sobre dónde se encuentra tu información más sensible, mejor preparado estarás para responder cuando algo salga mal.

La startup de IA Mercor sufre una importante filtración de datos biométricos

Por qué las filtraciones de datos biométricos son especialmente peligrosas

La vulnerabilidad en la cadena de suministro en el centro de esta filtración

Qué significa esto para ti

// FAQ

// Relacionados