Una hamburguesa peligrosa: cómo una contraseña “123456” estuvo a punto estuvo de freír los datos de 64 millones de personas

En junio de 2025 McDonald’s vivió una de las brechas de seguridad más surrealistas del año. No se trató de un sofisticado ataque de ransomware, ni de explotación de una vulnerabilidad de día cero. Bastó con adivinar la contraseña. Dos investigadores de seguridad, Ian Carroll y Sam Curry, lograron acceder al sistema de contratación automatizada McHire (creado por Paradox.ai) utilizando credenciales ridículamente débiles: tanto el usuario como la contraseña eran “123456”.

En menos de media hora obtuvieron acceso administrativo a un portal activo. Se trataba de un panel de control dejado atrás desde 2019 sin MFA ni protección alguna. Una vez dentro, aprovecharon una vulnerabilidad de tipo Insecure Direct Object Reference (IDOR), manipulando IDs de candidatos, para visitar registros de personas que ni siquiera habían solicitado empleos. Información personal como nombres, direcciones de correo, teléfonos y registros de chat quedaron al descubierto.

Y aunque sólo se accedió a un número limitado de registros (siete, de los cuales cinco contenían datos personales identificables), los informes apuntan a que “potencialmente” la plataforma contenía hasta 64 millones de registros susceptibles de ser filtrados . Una exposición masiva realmente peligrosa: los datos, aunque aparentemente inofensivos, abren la puerta a ofensivas de phishing altamente efectivas y ataques de ingeniería social.

Contraseñas débiles = Sistemas mal protegidos

Este episodio no es sólo un golpe a la reputación de McDonald’s, sino una llamada de atención para todas las organizaciones. La mayoría de las brechas de seguridad (especialmente las evitables) se originan por errores tan básicos como este. Por eso hay que tener siempre presentes los siguientes puntos clave:

1. Nunca dejes credenciales por defecto activas: contraseñas como “123456” son usadas millones de veces. Usarlas para proteger datos sensibles es un suicidio digital.
2. Implementación obligatoria de MFA en todas las cuentas: el acceso no debería depender exclusivamente de una contraseña. El segundo factor es fundamental para frenar ataques automatizados o adivinatorios.
3. Gestión del ciclo de vida de cuentas: cuentas “de prueba”, inactivas u obsoletas deben ser desactivadas o eliminadas. Esta cuenta problemática data de 2019.
4. Cambio de contraseñas periódicas: Las contraseñas deben cambiarse cada 2 ó 3 meses para evitar que una contraseña filtrada pueda usarse para acceder a las cuentas de los usuarios.
5. Evitar usuarios genéricos y contraseñas compartidas: En algunos entornos  puede parece una gran idea tener un único usuario que utilicen varios trabajadores para acceder a los sistemas. La realidad es que es un problema de seguridad mayúsculo. No eres capaz identificar a los usuarios que interactúan  con el sistema.
6. Auditorías regulares y pruebas simuladas de penetración (incluyendo IDOR): vulnerabilidades en API expuestas, inyecciones o referencias inseguras son comunes y deben ser identificadas antes que los hackers las aprovechen.

McDonald’s sufre una filtración masiva de datos por un error de seguridad básico

Seguridad como responsabilidad compartida: el vendor no es ajeno

McDonald’s atribuyó públicamente la responsabilidad a Paradox.ai, su proveedor tecnológico, calificando el incidente como “inaceptable” y exigieron darle una solución inmediata, que se efectuó ese mismo día. Paradox.ai implementó un programa de recompensas por hallazgo de errores (bug bounty) y revocó la cuenta afectada .

La lección es clara: incluso si la tecnología clave está en manos de un tercero, la entidad cliente no puede evadirse de sus obligaciones. El monitoreo, control y auditoría sobre proveedores debe ser continuo.

Vapasec y su LoginGate: la última barrera antes de la catástrofe

Aquí es donde nuestra empresa, VapaSec,  ofrece una solución poderosa: LoginGate, una forma avanzada de autenticación multifactor (MFA), que actúa como un escudo adicional que protege el acceso a sistemas críticos incluso si las credenciales han sido comprometidas.

¿Cómo con LoginGate habríamos evitado esta brecha?

• Autenticación robusta por múltiples factores: aunque el atacante acertara con la contraseña “123456”, el acceso real habría sido bloqueado por el segundo factor que el atacante no tendría.
• Protección homogénea del backend administrativo: tanto sistemas activos como de prueba desplegarían el mismo nivel de protección, sin excepciones peligrosas.
• Visibilidad y control en tiempo real: Vapasec permite detectar y reaccionar a intentos de acceso indebidos instantáneamente, con alertas automáticas y bloqueo inmediato.

Una hamburguesa que pudo acabar mal

McDonald’s sufrió un fallo de seguridad digno de una sitcom, más que de thriller de hackers. Y todo porque la puerta estaba abierta. Pero como cada historia, esta también nos enseña y la moraleja en este caso es que que los errores más básicos pueden causar daños tremendos. Las contraseñas débiles, sin MFA, y la no desactivación obvia de una cuenta antigua pueden desencadenar el desastre.

La conclusión para cualquier empresa tecnológica o con sistemas tercerizados es innegociable:

• No hay excusa para credenciales predeterminadas.
• MFA no es opcional, es crítico.
• La gestión de proveedores incluye la seguridad continúa.
• Protege tu sistema con el LoginGate de Vapasec.

Convierte ese vector de ataque trivial en una línea de defensa difícil de vulnerar. Tu organización no tiene por qué ser la tapa abierta de una hamburguesa infectada.

 FDO: Pablo San Emeterio, CEO y fundador de Vapasec. Es ingeniero informático por la UPM y tiene un máster en Auditoría y Seguridad de la Información por la misma universidad. Cuenta con más de 20 años de experiencia en desarrollo de software, ciberseguridad e I+D+i, y ha presentado sus investigaciones en importantes conferencias nacionales e internacionales.