Seis meses atrás, Mercor se encontraba en una posición privilegiada tras recaudar una inversión significativa de 350 millones de dólares en una ronda de financiación Serie C que valoró la startup de entrenamiento de datos de IA en 10.000 millones de dólares. Sin embargo, el 31 de marzo, la empresa admitió ser víctima de una brecha de datos, lo que desencadenó una serie de problemas que han puesto su futuro en riesgo.
Brecha de Seguridad y Datos Robados
Una grupo de hackers ha afirmado haber obtenido 4TB de datos robados de los sistemas de Mercor, incluyendo perfiles de candidatos, información personal identificable, datos de empleados, código fuente y claves API. Mercor no ha confirmado la autenticidad de los datos robados, limitándose a afirmar que está investigando la situación y que continuará comunicándose con sus clientes y contratistas según sea necesario.
Origen del Ataque: LiteLLM
El ataque a Mercor se atribuye a una vulnerabilidad en LiteLLM, una herramienta de código abierto muy popular que se descarga millones de veces al día. Durante 40 minutos, la herramienta albergó un malware destinado a robar credenciales, lo que permitió a los atacantes acceder a más cuentas y seguir recolectando información sensible.
Impacto en las Relaciones Comerciales
Aunque Mercor no ha reconocido formalmente la cantidad de datos robados, sus problemas han tenido repercusiones inmediatas. Meta ha detenido indefinidamente sus contratos con Mercor, lo que pone de manifiesto la desconfianza generada por la brecha de seguridad. A pesar de que OpenAI está investigando su exposición en la brecha, no ha suspendido sus contratos, aunque otros grandes creadores de modelos están reconsiderando sus relaciones con la empresa.
Demandas Legales y Consecuencias para Mercor
Cinco de los contratistas de Mercor han presentado demandas relacionadas con la presunta exposición de sus datos personales. La gravedad de estas demandas y su impacto en la compañía aún están por verse. Una de las demandas identificó a LiteLLM y a Delve como co-demandados, aludiendo a la conexión entre ambas empresas en el ámbito de las certificaciones de seguridad.
Acusaciones a Delve
Delve, una startup de cumplimiento de IA, ha sido acusada de falsificar datos para obtener certificaciones de seguridad. Aunque ha negado estas acusaciones, ha realizado cambios operativos significativos y ha enfrentado severas consecuencias, incluso la ruptura de vínculos con Y Combinator.
Mejoras en la Seguridad de LiteLLM
Ante la situación, LiteLLM está trabajando con otra startup de cumplimiento de IA para volver a obtener sus certificaciones de seguridad y ha publicado un informe sobre el incidente de seguridad, aunque se confirma que Mercor no era cliente de Delve.
Consejos para Emprendedores y Negocios
-
Priorizar la Seguridad de Datos: La protección de datos es crucial. Implementar robustas medidas de ciberseguridad puede prevenir incidentes similares.
-
Verificar Proveedores: Al trabajar con herramientas de terceros, como en el caso de LiteLLM, es fundamental investigar la fiabilidad y las credenciales de los proveedores de software.
-
Transparencia con Clientes: Comunicar de manera proactiva con los clientes sobre incidentes de seguridad puede ayudar a construir confianza, aunque la situación sea adversa.
-
Evaluar Riesgos Legales: Prepararse para posibles acciones legales y entender las implicaciones de la exposición de datos personales es esencial para limitar riesgos futuros.
- Invertir en Capacitación de Empleados: Capacitar a los empleados sobre la importancia de la seguridad cibernética y las mejores prácticas es vital para reducir el riesgo de ataques.
Conclusiones
La situación de Mercor resalta la extrema vulnerabilidad de las organizaciones ante brechas de datos, especialmente en el ámbito de la inteligencia artificial donde se manejan datos sensibles. La responsabilidad recae no solo en las medidas de seguridad implementadas por las empresas, sino también en las asociaciones que eligen formar. Un incidente como este puede tener repercusiones duraderas, tanto a nivel financiero como de reputación, lo que destacan la importancia de una gestión de riesgos adecuada y de la transparencia en las operaciones.