Antecedentes y valoración
Hace apenas medio año, Mercor, una startup enfocada en entrenar datos para modelos de inteligencia artificial, sorprendió al ecosistema al cerrar una ronda Serie C de 350 millones de dólares. Esa inyección de capital catapultó su valoración a la impresionante cifra de 10 mil millones, posicionándola como una de las compañías emergentes más prometedoras del sector. Inversores y grandes corporaciones depositaron sus expectativas en su capacidad para suministrar conjuntos de datos personalizados y algoritmos que impulsan la próxima generación de IA.
La filtración masiva
El 31 de marzo, Mercor admitió públicamente haber sido vulnerada. Un grupo de hackers afirmó haber sustraído alrededor de 4 terabytes de información, abarcando perfiles de candidatos, datos identificables, información de empleadores, código fuente y claves API. La causa raíz, según la empresa, radica en la herramienta de código abierto LiteLLM, ampliamente descargada por desarrolladores. Durante 40 minutos, dicha aplicación alojó malware especializado en capturar credenciales, que luego se utilizó para escalar privilegios y exfiltrar más datos en una cadena de compromiso continuo.
Impacto en alianzas estratégicas
Las consecuencias inmediatas fueron dolorosas. Meta, uno de los principales clientes de Mercor, decidió suspender sus contratos de forma indefinida, una medida que subraya la gravedad de la brecha cuando se trata de secretos comerciales y datos sensibles. OpenAI, aunque todavía mantiene sus acuerdos, confirmó que está investigando su exposición en el incidente y que evaluará cualquier repercusión futura. Otros gigantes del aprendizaje automático, aunque no han hecho declaraciones oficiales, están revisando sus relaciones con la startup, lo que genera incertidumbre sobre su hoja de ruta comercial.
Reacciones legales y desafíos de seguridad
En el plano judicial, cinco contratistas de Mercor presentaron demandas alegando la exposición de su información personal. Además, una de esas acciones legales incluye a LiteLLM y a la empresa de cumplimiento de IA Delve, acusada de falsificar datos para obtener certificaciones de seguridad. El caso pone de relieve las limitaciones de las acreditaciones de seguridad cuando los atacantes logran infiltrarse mediante herramientas de uso cotidiano. Mercor ha reiterado que continúa investigando, comunicándose directamente con clientes y destinando recursos significativos para contener la situación.
En síntesis, la vulnerabilidad expuesta convierte a Mercor en un caso de estudio sobre los riesgos inherentes al manejo de datos críticos en la era de la inteligencia artificial. La combinación de una valoración millonaria, una filtración de datos sin precedentes y la reacción de socios estratégicos pone a prueba la resiliencia de la empresa y plantea interrogantes sobre la confianza que el mercado depositará en proveedores de datos de IA en los próximos años.
Source: https://techcrunch.com/2026/04/09/after-data-breach-10b-valued-startup-mercor-is-having-a-month/