{"id":4281,"date":"2026-04-30T12:55:00","date_gmt":"2026-04-30T17:55:00","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=4281"},"modified":"2026-05-03T13:35:54","modified_gmt":"2026-05-03T18:35:54","slug":"como-hackearon-la-plataforma-de-ia-de-mckinsey-en-2-horas","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/como-hackearon-la-plataforma-de-ia-de-mckinsey-en-2-horas\/","title":{"rendered":"\u00bfComo…? Hackearon la plataforma de IA de McKinsey en 2 horas"},"content":{"rendered":"\n

Un agente aut\u00f3nomo basado en inteligencia artificial hacke\u00f3 la plataforma interna de IA de la consultora m\u00e1s prestigiosa del mundo McKinsey & Company en apenas dos horas<\/strong> y expuso secretos globales.<\/p>\n\n\n\n

McKinsey & Company desarroll\u00f3 Lilli<\/strong>, una plataforma interna de IA usada por m\u00e1s de 43.000 empleados<\/strong> para chat, an\u00e1lisis documental, RAG y b\u00fasqueda interna sobre m\u00e1s de 100.000 documentos.<\/p>\n\n\n\n

RAG <\/strong>(Retrieval-Augmented Generation) es un marco de IA que combina modelos generativos con recuperaci\u00f3n de informaci\u00f3n para generar respuestas m\u00e1s precisas y contextuales. Permite a los sistemas acceder a bases de datos o documentos externos en tiempo real.<\/p>\n\n\n\n

La startup de ciberseguridad CodeWall demostr\u00f3 que un robot aut\u00f3nomo pod\u00eda acceder a 46,5 millones<\/strong> de mensajes confidenciales de la consultora m\u00e1s prestigiosa del mundo. Las claves de un caso que expone el riesgo que enfrentan las organizaciones que implementan la inteligencia artificial a velocidad r\u00e9cord.<\/p>\n\n\n\n

CodeWall decidi\u00f3 dirigir su agente ofensivo aut\u00f3nomo<\/strong> a Lilli sin credenciales, sin informaci\u00f3n interna y sin intervenci\u00f3n humana<\/strong>, solo con un nombre de dominio y en 2 horas<\/strong>, el agente obtuvo acceso total de lectura y escritura<\/strong> a la base de datos de producci\u00f3n.<\/p>\n\n\n\n

C\u00f3mo fue el ataque<\/strong> a la IA<\/strong><\/h1>\n\n\n\n

El agente mape\u00f3 la superficie de ataque y encontr\u00f3 la documentaci\u00f3n de la API expuesta p\u00fablicamente \u2014 m\u00e1s de 200 puntos finales, completamente documentados. La mayor\u00eda requer\u00edan autenticaci\u00f3n y 22 no.<\/p>\n\n\n\n

Uno de esos endpoints no protegidos escrib\u00eda consultas de b\u00fasqueda de usuario en la base de datos. Los valores se parametrizaron de forma segura, pero las claves JSON \u2014los nombres de los campos\u2014 se concatenaron directamente en SQL.<\/p>\n\n\n\n

\n
\"\"<\/a><\/figure>\n<\/figure>\n\n\n\n

Cuando encontr\u00f3 claves JSON reflejadas literalmente en los mensajes de error de la base de datos, reconoci\u00f3 una inyecci\u00f3n SQL que las herramientas est\u00e1ndar o Free no detectaban (y de hecho, OWASP ZAP no detect\u00f3 el problema)<\/strong>. A partir de ah\u00ed, ejecut\u00f3 15 iteraciones a ciegas (Blind SQL) \u2014 cada mensaje de error revela un poco m\u00e1s sobre la forma de la consulta \u2014 hasta que los datos de producci\u00f3n en tiempo real se obtuvieron. <\/p>\n\n\n\n

En agente en su registro interno lleg\u00f3 a reaccionar con:
\u201cWOW!\u201d<\/strong> al ver el primer identificador real, y
\u201cThis is devastating.\u201d<\/strong> cuando entendi\u00f3 la escala del acceso.<\/p>\n\n\n\n

\"\"<\/a>
AI agent cracks McKinsey internal chatbot in two hours\u200b | Cybernews<\/a><\/a><\/figcaption><\/figure>\n\n\n\n

El agente logro tener acceso a:<\/p>\n\n\n\n