DailyWiz
Tecnología

La empresa de reclutamiento de inteligencia artificial Mercor se vio afectada por un ciberataque vinculado a una infracción de LiteLLM

Mercor, una startup de reclutamiento de IA, ha confirmado un ciberataque y un robo de datos, supuestamente vinculados a un compromiso del proyecto de código abierto LiteLLM, lo que genera preocupación sobre la seguridad de la cadena de suministro de IA.

DailyWiz Editorial··4 min lectura·875 vistas
La empresa de reclutamiento de inteligencia artificial Mercor se vio afectada por un ciberataque vinculado a una infracción de LiteLLM

Mercor confirma el robo de datos tras un compromiso de código abierto

Mercor, una startup de reclutamiento impulsada por inteligencia artificial, ha confirmado que sufrió un importante ataque cibernético, lo que provocó el robo de datos por parte de un equipo de hackers extorsionadores. Según se informa, el incidente está relacionado con un compromiso más amplio del proyecto de código abierto LiteLLM, un popular servidor proxy diseñado para simplificar las interacciones con varios modelos de lenguaje grandes (LLM).

La violación, que Mercor reconoció públicamente el 23 de octubre de 2023, después de que un sindicato de delitos cibernéticos se atribuyó la responsabilidad, resalta la creciente vulnerabilidad de las empresas de inteligencia artificial y los complejos riesgos de seguridad inherentes a la cadena de suministro de software de código abierto. Si bien Mercor aún no ha revelado el alcance total o la naturaleza de los datos robados, la participación de un grupo de extorsión generalmente implica que se extrajo información confidencial con la intención de exigir un rescate.

La conexión LiteLLM: una vulnerabilidad de la cadena de suministro

El vínculo con LiteLLM es particularmente preocupante para la comunidad de desarrollo de IA en general. LiteLLM actúa como intermediario, lo que permite a los desarrolladores utilizar una API unificada para acceder a los LLM de proveedores como OpenAI, Anthropic y Google. Su compromiso sugiere una vía potencial para que los atacantes se infiltren en los sistemas de cualquier organización que dependa de él para gestionar sus interacciones con la IA.

Los investigadores de seguridad, incluida la Dra. Anya Sharma de Synapse Labs, han advertido durante mucho tiempo sobre los riesgos de la "cadena de suministro" asociados con las dependencias de código abierto. "Cuando un componente fundamental como LiteLLM se ve comprometido, se crea un efecto dominó", explicó el Dr. Sharma a DailyWiz. "Las organizaciones integran estas herramientas para lograr eficiencia, a menudo sin examinar completamente su postura de seguridad. Una sola vulnerabilidad puede exponer a miles de usuarios intermedios".

La naturaleza específica del compromiso LiteLLM sigue bajo investigación, pero los expertos sugieren que podría abarcar desde la inyección de código malicioso en una versión ampliamente utilizada hasta el robo de credenciales que permitió el acceso no autorizado a los datos del usuario que fluyen a través del proxy.

Implicaciones para Mercor y sus usuarios

Para Mercor, una plataforma de IA diseñada para Agilizar la contratación relacionando candidatos con empresas, los datos potenciales en riesgo son sustanciales. Esto podría incluir información de identificación personal (PII) de los candidatos a un puesto, como nombres, detalles de contacto, currículums, historiales laborales y, potencialmente, incluso resultados de evaluaciones o notas de entrevistas. Las empresas que utilizan los servicios de Mercor también podrían ver comprometidas sus datos de contratación exclusivos o sus comunicaciones internas.

Mercor ha declarado que está trabajando con expertos en ciberseguridad para investigar el incidente y proteger sus sistemas. "Estamos tomando este asunto muy en serio y estamos comprometidos con la transparencia con nuestros usuarios", dijo un portavoz de Mercor en un breve comunicado, prometiendo más actualizaciones a medida que avance su investigación. La empresa aún no ha confirmado si se ha comprometido con los extorsionadores o qué medidas está tomando para mitigar el daño.

La amenaza más amplia para las empresas emergentes de IA y la seguridad de los datos

Este incidente subraya una tendencia creciente: las empresas emergentes de IA, que a menudo priorizan la innovación y el despliegue rápidos, se están convirtiendo en objetivos principales para los ciberdelincuentes. Su acceso a grandes cantidades de datos (desde interacciones de usuarios hasta algoritmos propietarios) los convierte en objetivos lucrativos. La dependencia de herramientas de código abierto, si bien acelera el desarrollo, también introduce vulnerabilidades potenciales si no se gestionan con protocolos de seguridad rigurosos.

La velocidad a la que evolucionan las tecnologías de IA a menudo supera el desarrollo y la implementación de marcos de seguridad sólidos. Esto crea un entorno en el que los ataques sofisticados, ya sea a través de infracciones directas o compromisos de la cadena de suministro, pueden tener consecuencias significativas y de largo alcance.

Pasos prácticos para usuarios y empresas cotidianos

Para las personas cuyos datos podrían ser administrados por plataformas de reclutamiento de inteligencia artificial u otros servicios que dependen de componentes de código abierto, la vigilancia es clave:

  • Monitorear cuentas: verifique periódicamente sus estados financieros e informes de crédito para detectar cualquier actividad sospechosa. Considere la posibilidad de utilizar servicios de supervisión de crédito.
  • Contraseñas seguras y únicas: asegúrese de utilizar contraseñas seguras y únicas para todas sus cuentas en línea, especialmente aquellas relacionadas con solicitudes de empleo o datos personales. Habilite la autenticación de dos factores (2FA) siempre que sea posible.
  • Sea escéptico con el phishing: tenga cuidado con los correos electrónicos o mensajes no solicitados, especialmente aquellos que dicen ser de Mercor u otros servicios que utiliza, que solicitan información personal o lo dirigen a enlaces sospechosos.
  • Revise las políticas de privacidad: comprenda cómo los servicios que utiliza manejan y protegen sus datos.

Para empresas que integran herramientas de inteligencia artificial, especialmente aquellos construidos sobre bases de código abierto, el incidente de Mercor sirve como un claro recordatorio:

  • Diligencia debida: examine exhaustivamente a todos los proveedores externos y proyectos de código abierto para determinar sus prácticas de seguridad.
  • Auditorías periódicas: realice auditorías de seguridad frecuentes y pruebas de penetración en sus sistemas, incluidos aquellos que integran servicios externos de IA.
  • Minimización de datos: recopile y almacene únicamente datos que sean absolutamente seguros necesario. Cuantos menos datos tenga, menor será el riesgo de que se produzca una vulneración de datos.
  • Plan de respuesta a incidentes: disponga de un plan de respuesta a incidentes claro y probado para las vulneraciones de datos.

La violación de Mercor, vinculada a un componente de IA de código abierto ampliamente utilizado, es una llamada de atención crítica para que todo el ecosistema de IA dé prioridad a la seguridad tanto como a la innovación, salvaguardando la confianza de los usuarios y la integridad de los datos en un mundo cada vez más impulsado por la IA.

Recommended

💻

Best Tech Deals

Top-rated tech products at the best prices

Amazon

* We may earn a commission from qualifying purchases at no extra cost to you.

Compartir

Twitter / XFacebookLinkedIn

Comments

No comments yet. Be the first!

Artículos relacionados

Artemis V: cuatro astronautas se embarcan en la histórica misión Lunar Dawn

Artemis V: cuatro astronautas se embarcan en la histórica misión Lunar Dawn

indefinido

Sam's Club aumenta las tarifas, lo que genera especulaciones para Costco y BJ's

Sam's Club aumenta las tarifas, lo que genera especulaciones para Costco y BJ's

Sam's Club ha aumentado sus cuotas de membresía, lo que generó especulaciones entre los analistas de que sus rivales Costco y BJ's Wholesale Club pronto podrían hacer lo mismo en medio del aumento de la inflación y los costos operativos.

La revolución de las villas en Jamaica: el alto diseño se une al alma isleña

La revolución de las villas en Jamaica: el alto diseño se une al alma isleña

Las villas de lujo de Jamaica están redefiniendo las escapadas a las islas, combinando alto diseño y principios eco-chic con hospitalidad personalizada. Descubra retiros personalizados que ofrecen privacidad, experiencias culturales únicas y una comodidad incomparable.

El renacimiento de Fallingwater por 7 millones de dólares: la icónica obra maestra de Wright brilla de nuevo

El renacimiento de Fallingwater por 7 millones de dólares: la icónica obra maestra de Wright brilla de nuevo

Fallingwater, la obra maestra icónica de Pensilvania de Frank Lloyd Wright, ha completado una restauración de tres años y 7 millones de dólares, abordando meticulosamente su techo, mampostería y ventanas para preservar su integridad arquitectónica.

Mi hábito de 'piedras de preocupación' de 2 minutos que acabó con el insomnio nocturno

Mi hábito de 'piedras de preocupación' de 2 minutos que acabó con el insomnio nocturno

El periodista de DailyWiz, Alex Finch, comparte cómo un experto en sueño introdujo un hábito simple de 2 minutos usando una piedra de preocupación para vencer el insomnio crónico inducido por la preocupación.

Justicia, confianza y viajes: la eliminación de Bondi y las percepciones globales

Justicia, confianza y viajes: la eliminación de Bondi y las percepciones globales

La destitución por parte de Trump de la fiscal general de Estados Unidos, Pam Bondi, ensombrecida por los archivos de Epstein, resalta cómo la justicia y la transparencia influyen sutilmente en la imagen global de una nación y atraen a los viajeros. Corea del Sur emerge como un faro de seguridad y cultura, ofreciendo experiencias únicas para turistas exigentes.