Hace apenas seis meses, Mercor era un ejemplo del auge de la IA. Tras una enorme ronda de financiación Serie C de 350 millones de dólares, la startup de formación de datos de IA alcanzó una asombrosa valoración de 10 mil millones de dólares. Hoy, ese impulso ha sido reemplazado por una serie de crisis en aumento tras una importante filtración de datos.
La anatomía de la brecha
El 31 de marzo, Mercor admitió que había sido atacado por piratas informáticos. Desde entonces, un grupo de piratas informáticos afirmó haber extraído 4 TB de datos robados. Si bien Mercor no ha confirmado oficialmente la autenticidad de los archivos robados, el presunto botín es devastador y, según se informa, incluye:
- Perfiles de candidatos e información de identificación personal (PII).
- Datos del empleador y registros comerciales confidenciales.
- Código fuente propietario y Claves API.
Según se informa, la infracción se vio facilitada por una vulnerabilidad en LiteLLM, una herramienta de código abierto ampliamente utilizada y descargada millones de veces al día. Durante un período de 40 minutos, la herramienta contuvo “malware de recolección de credenciales”: software malicioso diseñado para robar credenciales de inicio de sesión. Esto creó un efecto dominó, en el que se utilizaron credenciales robadas para acceder a más software y cuentas, lo que permitió a los atacantes penetrar más profundamente en los sistemas de Mercor.
Las consecuencias: los gigantes de la industria reconsideran sus asociaciones
En el mundo del desarrollo de la IA, las empresas de formación de datos como Mercor son más que simples proveedores de servicios; son custodios de secretos comerciales. Gestionan conjuntos de datos personalizados y procesos únicos que permiten a los fabricantes de modelos entrenar su IA. Este alto nivel de confianza es la razón por la que empresas como Meta trabajaron anteriormente con Mercor incluso después de invertir 14.300 millones de dólares en su competidor, Scale AI.
Sin embargo, esa confianza ahora está siendo puesta a prueba:
- Meta habría suspendido sus contratos con Mercor de forma indefinida.
- OpenAI está investigando actualmente su propia exposición tras la infracción, aunque no ha puesto fin a su asociación con Mercor en este momento.
- Otros desarrolladores importantes de IA supuestamente están revisando sus relaciones con la empresa mientras sopesan los riesgos de una colaboración continua.
Batallas legales y la controversia sobre la “certificación”
La crisis está pasando del ámbito digital a los tribunales. Al menos cinco contratistas han presentado demandas contra Mercor, alegando la exposición de sus datos personales.
Una demanda en particular ha introducido una compleja red de responsabilidad al nombrar no solo a Mercor, sino también a LiteLLM y Delve como acusados. Esto pone de relieve un tema crítico, que a menudo se pasa por alto en la industria tecnológica: la confiabilidad de las certificaciones de seguridad.
Las certificaciones de seguridad tienen como objetivo garantizar que las empresas cuenten con procesos sólidos para minimizar las amenazas, pero no son un escudo mágico contra ataques sofisticados.
La inclusión de Delve, una startup de cumplimiento de IA, añade una capa de controversia. Un denunciante ha alegado que Delve puede haber utilizado auditores “sellados” y datos falsificados para emitir certificaciones de seguridad. Si bien Delve niega estas afirmaciones, las consecuencias han sido importantes, incluida la pérdida de su relación con Y Combinator. En respuesta al escrutinio, LiteLLM abandonó Delve y está buscando nuevas certificaciones de seguridad a través de un proveedor diferente.
Resumen
Mercor se encuentra actualmente atravesando una tormenta perfecta de robo masivo de datos, pérdida de importantes clientes empresariales y crecientes desafíos legales. El incidente sirve como un claro recordatorio de cómo una sola vulnerabilidad en una popular herramienta de código abierto puede poner en peligro la seguridad de todo el ecosistema de desarrollo de la IA.
