El 03/04/2026 se hizo pública una filtración que sacudió a varias empresas del ecosistema de inteligencia artificial. Según informes, la startup de reclutamiento Mercor —valuada en alrededor de $10 mil millones— sufrió una exposición masiva: cerca de 4 TB de información sensible terminaron disponibles en la red. Entre los archivos comprometidos hay código fuente, bases de datos de usuarios, entrevistas en video y documentos de verificación de identidad, lo que eleva la gravedad del incidente más allá de una simple fuga de contraseñas.
La filtración fue atribuida a una vulnerabilidad en LiteLLM, una biblioteca de código abierto que muchas empresas usan para orquestar llamadas a modelos. LiteLLM funcionaba como un componente clave en la tubería técnica de Mercor, y al ser comprometida permitió a los atacantes acceder a sistemas internos. El grupo conocido como Lapsus$ aparece vinculado a la intrusión según fuentes cercanas a la investigación, y la reacción del mercado fue inmediata: grandes clientes, entre ellos Meta, anunciaron la suspensión temporal de trabajos con Mercor para evaluar el alcance del daño.
El incidente y su alcance
La dimensión del robo —aproximadamente 4 TB— revela que no se trató de un acceso limitado sino de un volcado extenso de activos digitales. El material filtrado incluye tanto componentes técnicos como información personal: desde fragmentos del motor de la plataforma hasta entrevistas en video de candidatos y documentos de identidad usados en procesos de verificación. Esta mezcla convierte el suceso en una combinación de riesgo corporativo y violación de privacidad.
Además, la relación con bibliotecas de código abierto evidencia cómo una sola falla puede propagarse a través de múltiples organizaciones que dependen de la misma infraestructura compartida.
Vector de ataque: la cadena de suministro
En el centro del problema está la seguridad de la cadena de suministro de software. Mercor no fue atacada directamente; en lugar de eso, el punto de entrada fue una pieza de software que coordina llamadas a modelos de IA.
Este tipo de vectores demuestra que la seguridad de una compañía está intrínsecamente ligada a la higiene y al mantenimiento de sus dependencias. Muchas herramientas de código abierto no pasan por los mismos procesos de auditoría y endurecimiento que el software empresarial, y eso crea una superficie de ataque que los actores maliciosos pueden explotar con efectos en cascada.
Por qué importa la seguridad de proveedores
La pausa de Meta es representativa: cuando un proveedor que maneja datos sensibles se ve comprometido, sus clientes deben detener operaciones para protegerse. La lección para las compañías de IA y recursos humanos es clara: gestionar proveedores no es una tarea administrativa, sino una parte esencial del producto. Los equipos deben valorar la seguridad de terceros con la misma prioridad que la seguridad interna, implementando auditorías, revisiones de dependencias y controles continuos para minimizar el riesgo de que una vulnerabilidad externa provoque una violación de datos propia.
Consecuencias y próximos pasos
Para Mercor, la recuperación de confianza será un proceso largo. Debe reevaluar cada línea de código, auditar sus dependencias y comunicar con transparencia las medidas adoptadas. Los millones de candidatos cuyas entrevistas y documentos podrían estar comprometidos enfrentan incertidumbres reales sobre el uso futuro de su información. Por su parte, clientes y socios comenzaron a revisar contratos y exigencias de seguridad. En el plano legal y reputacional, la empresa necesitará mostrar procesos claros de remediación y ofrecer mecanismos para mitigar el daño a las personas afectadas.
Recomendaciones prácticas
Frente a este tipo de incidentes, es recomendable que las organizaciones adopten medidas concretas: inventarios de dependencias, pruebas de penetración regulares sobre componentes críticos, y cláusulas contractuales que obliguen a proveedores a mantener estándares de seguridad. También conviene aplicar cifrado estricto a datos sensibles y limitar el acceso por privilegios mínimos. En síntesis, transformar la gestión de proveedores en un pilar estratégico ayudará a reducir la probabilidad de que una vulnerabilidad en una librería compartida se convierta en una crisis para múltiples empresas.
Este episodio es un recordatorio contundente de que la velocidad de crecimiento en el sector de la IA no puede sacrificar la robustez de las defensas. La industria debe aprender a combinar innovación con prácticas de seguridad más rigurosas si quiere evitar que incidentes similares se repitan.
