Mercor: Hackeos en LiteLLM roban datos biométricos de voz y rostro en reclutamiento con IA

Una vulnerabilidad en la cadena de suministro de software abierto ha permitido a ciberdelincuentes robar datos biométricos de voz y reconocimiento facial de la startup de reclutamiento con IA, Mercor. El ataque, que se propagó rápidamente, no es un incidente aislado, sino parte de una intrusión que ha impactado a múltiples organizaciones que dependen de la misma herramienta crítica, elevando el riesgo de una fuga de datos a gran escala en el sector tecnológico.

El origen del problema se sitúa en LiteLLM, una biblioteca ampliamente utilizada para gestionar interacciones con modelos de lenguaje. Los atacantes lograron infiltrarse tras el hallazgo de código malicioso en un paquete vinculado a esta herramienta. Este tipo de ataque a la cadena de suministro permite a los hackers comprometer numerosas empresas a partir de un único punto vulnerable, lo que multiplica el daño potencial y dificulta enormemente su contención.

La confirmación del incidente por parte de Mercor pone bajo escrutinio la seguridad de las herramientas de código abierto fundamentales para la industria de la IA. La exposición de datos biométricos sensibles, utilizados en procesos de reclutamiento, plantea graves riesgos de privacidad y podría tener implicaciones regulatorias más amplias, presionando a otras empresas del sector a auditar urgentemente sus dependencias de software.