Resumen del incidente
Mercor, la empresa de entrenamiento de datos para IA valorada en diez mil millones de dólares, se vio envuelta en una grave filtración de información a finales de marzo. Un grupo de hackers aseguró haber sustraído aproximadamente 4 TB de datos, que incluyen perfiles de candidatos, información personal identificable, datos de empleadores, código fuente y claves de API. La compañía confirmó que la vulnerabilidad se originó en la herramienta de código abierto LiteLLM, ampliamente utilizada en la comunidad de desarrollo.
Origen de la vulnerabilidad
Según los informes, LiteLLM estuvo comprometida durante 40 minutos, momento en el que albergó malware especializado en la captura de credenciales. Estas credenciales fueron reutilizadas para acceder a otras aplicaciones y cuentas, creando una cadena de compromisos que permitió a los atacantes recolectar información adicional de los sistemas internos de Mercor.
Repercusiones en los socios estratégicos
El impacto inmediato se sintió en los acuerdos comerciales de la compañía. Fuentes cercanas a la empresa revelaron que Meta decidió suspender indefinidamente sus contratos con Mercor, mientras que OpenAI confirmó que está investigando su exposición, aunque no ha interrumpido sus colaboraciones. Otros grandes modeladores de IA estarían revaluando sus vínculos con la startup, aunque los nombres aún no se han oficializado.
Acciones legales y acusaciones colaterales
Al menos cinco contratistas de Mercor han presentado demandas alegando la exposición de sus datos personales, según informó Business Insider. En una de esas demandas, además de Mercor, se nombraron como responsables a LiteLLM y a la startup de cumplimiento de IA Delve, acusada de falsificar información para certificaciones de seguridad. Este caso destaca la complejidad de la cadena de suministro de software y la necesidad de auditorías rigurosas.
Implicaciones para la industria de entrenamiento de datos
Empresas como Mercor manejan los conjuntos de datos más valiosos y secretos comerciales de los desarrolladores de modelos de IA. La filtración de estos recursos no solo pone en riesgo la privacidad de millones de usuarios, sino que también puede comprometer la ventaja competitiva de los clientes que confían en dichos datos para entrenar sus algoritmos. La situación subraya la importancia de reforzar las prácticas de ciberseguridad en entornos de código abierto y en proveedores de datos críticos.
Perspectivas a corto plazo
Mercor ha declarado que está dedicando recursos significativos para investigar el incidente y mantener informados a sus clientes y contratistas. Sin embargo, la falta de detalles concretos sobre la magnitud del daño y la continuidad de sus alianzas estratégicas genera incertidumbre entre inversores y socios potenciales. El caso servirá probablemente como una llamada de atención para la comunidad tecnológica, que deberá equilibrar la rapidez de la innovación con la necesidad de proteger la información sensible.
Source: https://techcrunch.com/2026/04/09/after-data-breach-10b-valued-startup-mercor-is-having-a-month/
