Hackers roban datos de voz y reconocimiento facial en startup de reclutamiento con IA Infobae
La startup de reclutamiento basada en inteligencia artificial Mercor confirmó haber sido víctima de un ciberataque vinculado a una vulneración en la cadena de suministro de software abierto, un tipo de incidente que podría tener implicaciones más amplias en el sector tecnológico.
El origen del problema se sitúa en LiteLLM, una biblioteca ampliamente utilizada para gestionar interacciones con modelos de lenguaje, lo que ha elevado la preocupación sobre el alcance potencial del ataque.
Según detalló la compañía, el incidente no es aislado, sino que forma parte de una intrusión que ha impactado a múltiples organizaciones que dependen de esta herramienta. Este tipo de ataques a la cadena de suministro permite a los ciberdelincuentes infiltrarse en numerosas empresas a partir de un único punto vulnerable, lo que multiplica el riesgo y dificulta su contención.
Un ataque que se propagó rápidamente
El problema se detectó tras el hallazgo de código malicioso en un paquete vinculado a LiteLLM. Aunque el componente fue identificado y retirado en cuestión de horas, su uso extendido —con millones de descargas diarias según firmas de seguridad— facilitó su rápida propagación en entornos productivos.
Las investigaciones preliminares apuntan a que la vulnerabilidad habría sido explotada por el grupo TeamPCP. Posteriormente, el colectivo de extorsión Lapsus$ aseguró haber accedido a datos internos de Mercor, aunque el vínculo exacto entre ambos hechos no ha sido confirmado.
Esta falta de claridad refleja una de las principales dificultades en la ciberseguridad actual: rastrear con precisión el origen y la evolución de ataques en los que intervienen múltiples actores.
Qué hace Mercor y por qué es un objetivo atractivo
Fundada en 2023, Mercor se ha consolidado como un actor relevante en el ámbito del reclutamiento especializado en inteligencia artificial. Su plataforma conecta empresas tecnológicas con profesionales altamente cualificados —como científicos, médicos o abogados— para entrenar sistemas avanzados.
La startup colabora con compañías como OpenAI y Anthropic, y gestiona más de dos millones de dólares diarios en pagos. Este volumen de operaciones y el acceso a datos sensibles convierten a la empresa en un objetivo atractivo para los ciberdelincuentes.
En octubre de 2025, la firma alcanzó una valoración de 10.000 millones de dólares tras una ronda de financiación Serie C, consolidando su posición dentro del ecosistema tecnológico.
Respuesta y medidas tras el incidente
Desde la compañía aseguran haber actuado con rapidez para contener la intrusión. La portavoz Heidi Hagberg indicó que se inició una investigación exhaustiva con el apoyo de expertos forenses externos.
“Actuamos con rapidez para contener y remediar el incidente de seguridad”, señaló la empresa, que también prometió mantener informados a sus clientes y colaboradores conforme avance el análisis.
Sin embargo, Mercor no ha confirmado si los datos de usuarios fueron efectivamente comprometidos, lo que mantiene la incertidumbre sobre el alcance real del ataque.
Indicios de filtración y presión de los atacantes
El grupo Lapsus$ publicó una muestra de datos que, según afirma, provienen de sistemas internos de la empresa. Entre el material se incluirían referencias a comunicaciones en Slack, sistemas de gestión de tickets y videos de interacciones con herramientas de inteligencia artificial.
No obstante, la autenticidad de estos datos no ha sido verificada públicamente por la compañía. Este tipo de filtraciones parciales es común en campañas de extorsión, donde los atacantes buscan presionar a las organizaciones afectadas.
LiteLLM y el desafío del software abierto
El incidente ha puesto el foco sobre LiteLLM y, en general, sobre los riesgos asociados al uso de software de código abierto en entornos críticos. Tras el ataque, el proyecto ha implementado cambios en sus procesos de seguridad y cumplimiento, incluyendo la adopción de nuevas herramientas de auditoría.
Este caso refleja una tendencia creciente en la industria: la necesidad de reforzar los controles sobre dependencias externas, especialmente en un contexto donde el software abierto es fundamental para el desarrollo tecnológico.
Un alcance aún por determinar
Por ahora, no se ha establecido cuántas organizaciones han sido afectadas ni el volumen total de datos expuestos. Las investigaciones continúan tanto por parte de las empresas implicadas como de firmas especializadas en ciberseguridad.
El incidente subraya los riesgos inherentes a la interconexión de sistemas y la dependencia de herramientas compartidas. En un entorno digital cada vez más complejo, un solo punto vulnerable puede desencadenar consecuencias a gran escala, afectando a múltiples actores de forma simultánea.
