El hackeo del año en cuestión de horas: una IA obligó a McKinsey a revelar todos sus secretos
Cómo un programa sencillo expuso a una de las empresas más herméticas del mundo.
A primera vista, una de las empresas de consultoría más cerradas e influyentes del mundo debería mantener sus sistemas internos bajo llave. Pero la comprobación mostró lo contrario. Se logró acceso completo a la plataforma corporativa con inteligencia artificial en apenas un par de horas – sin contraseñas y sin intervención humana.
En el centro del incidente está el sistema Lilli, desarrollado por McKinsey & Company para sus empleados. La plataforma funciona como asistente corporativo: analiza documentos, busca datos en archivos y responde preguntas usando materiales internos de la empresa. El servicio es utilizado por decenas de miles de empleados, y la cantidad de consultas supera el medio millón al mes.
La comprobación se realizó con una herramienta autónoma que elige la meta y construye el ataque por sí misma. El algoritmo encontró documentación abierta de la interfaz de programación de aplicaciones (API). En ella había más de doscientos puntos de acceso, y parte de ellos funcionaba sin verificación del usuario.
Uno de esos puntos registraba las consultas de búsqueda en una base de datos. El sistema procesaba los valores de forma segura, pero los nombres de los campos de la consulta se insertaban directamente en las sentencias de la base de datos. Cuando el servicio empezó a devolver errores con esos campos, el algoritmo reconoció la vulnerabilidad de inyección y empezó a ajustar la estructura de la consulta. Tras varias iteraciones se logró obtener datos reales.
A continuación la situación se volvió mucho más grave. Sin autorización se abría el acceso a una enorme cantidad de información: decenas de millones de mensajes de los chats de empleados, cientos de miles de archivos, incluidas presentaciones, hojas de cálculo y documentos, así como datos de decenas de miles de cuentas. Además, toda la información se almacenaba en texto claro.
El ataque no se detuvo ahí. Se logró obtener la configuración del propio sistema, incluidas las instrucciones que rigen el funcionamiento de la inteligencia artificial. Esas instrucciones determinan cómo la plataforma responde a las preguntas, qué restricciones respeta y qué datos puede proporcionar. Como la vulnerabilidad permitía no solo leer sino también modificar datos, un atacante podía reescribir el comportamiento del sistema sin ser detectado.
En ese escenario, la plataforma podría empezar a ofrecer recomendaciones distorsionadas, mezclar datos confidenciales en las respuestas o ignorar las restricciones de acceso. Además, apenas quedarían rastros de la intervención: los cambios se producen a nivel de configuración y no en el código. Es notable que los medios estándar de verificación de seguridad no detectaron el problema. Además, la propia vulnerabilidad pertenece a una de las clases de errores más antiguas y es conocida desde hace décadas.