Descubre cómo un investigador anónimo logró vulnerar sistemas de McDonald’s en busca de algo tan simple como nuggets gratis y acabó revelando fallos tan críticos que comprometían datos internos y de candidatos a empleo. Desde validaciones desde el cliente hasta contraseñas por defecto en herramientas de IA, estas brechas ponen en evidencia la urgencia de establecer canales de reporte y asumir responsabilidad en ciberseguridad. Este artículo muestra las lecciones clave que todo responsable tecnológico debería extraer.

De un capricho a una auditoría involuntaria

Un investigador bajo el seudónimo BobDaHacker comenzó explorando la app de recompensas de McDonald’s y descubrió que la validación de puntos se realizaba solo en el cliente, lo que permitía conseguir comida gratis con manipulaciones triviales.. Cuando su reporte fue ignorado inicialmente, el investigador continuó indagando y descubrió vulnerabilidades mucho más graves. Este encontró que una plataforma usada por agencias de marketing, el llamado Feel-Good Design Hub, funcionaba con protección limitada a nivel cliente, y que enviar datos a través de un formulario «register» enviaba contraseñas en claro por correo electrónico.

APIs expuestas e índices inseguros

Profundizando en la plataforma, BobDaHacker identificó una clave Magicbell API expuesta en texto plano dentro del JavaScript, lo que permitiría enviar notificaciones de phishing como si vinieran de McDonald’s.. También encontró índices públicos de Algolia que mostraban datos personales de quienes habían pedido acceso a sistemas internos. Estos hallazgos reflejan una combinación peligrosa de prácticas de desarrollo negligentes y nula segregación de entornos.

Acceso no autorizado a portales ejecutivos

Más alarmante aún, Bob descubrió que una cuenta de empleado de base permitía entrar en portales ejecutivos; desde allí, encontró un sistema —TRT— que permitía buscar empleados globalmente, incluyendo datos personales y una función de “suplantación” con solo saber el nombre o la ID.Asimismo, el acceso al sistema GRS (Global Restaurant Standards), destinado a franquiciados, carecía totalmente de autenticación, permitiendo modificar páginas internas —lo que el propio investigador demostró aunque luego revirtió el cambio .

Fallos en herramientas avanzadas: McHire y la IA como vector

La plataforma de contratación automatizada McHire, impulsada por IA (“Olivia”, de Paradox.ai), tampoco escapó a defectos graves de seguridad. Los investigadores Ian Carroll y Sam Curry lograron acceder al backend gracias a un acceso por defecto con usuario y contraseña “123456” . Esto les permitió entrar a una interfaz administrativa expuesta, y mediante una vulnerabilidad tipo IDOR (referencia directa insegura a objetos), navegar entre más de 64 millones de solicitudes de empleo, accediendo a información personal como nombres, correos, teléfonos, direcciones, preferencias y hasta tokens de autenticación. McDonald’s y Paradox.ai actuaron rápido y solucionaron el fallo el mismo día que se reportó, además de anunciar un programa de bug bounty.

Conclusión

Lo que empezó como una travesura por nuggets gratis se convirtió en una exposición sistemática de débiles defensas digitales en uno de los mayores gigantes globales. Desde validaciones en cliente y APIs mal protegidas hasta accesos administrativos débiles y herramientas de IA inseguras, el caso McDonald’s es un recordatorio poderoso de que, sin una cultura sólida de ciberseguridad y canales claros de reporte (como un security.txt o bug bounty), incluso empresas consolidadas pueden estar al borde de graves brechas.