💡 Resumen (TL;DR):
- Un agente de inteligencia artificial de CodeWall penetró la base de datos de producción de Lilli, la plataforma de IA de McKinsey.
- El ataque aprovechó una inyección SQL clásica para exponer 46.5 millones de chats privados y 57,000 cuentas corporativas.
- McKinsey parcheó la vulnerabilidad en 24 horas y aseguró que no hay evidencia de robo de información de clientes.
Un agente de inteligencia artificial autónomo desarrollado por la startup de seguridad CodeWall vulneró Lilli, la plataforma interna de IA generativa de McKinsey & Company, en apenas dos horas. El ataque logró acceso total de lectura y escritura a la base de datos de producción sin usar credenciales previas ni intervención humana.
El incidente, reportado inicialmente por The Register el 9 de marzo, dejó expuestos 46.5 millones de mensajes de chat en texto plano. El contenido abarcaba estrategias corporativas, fusiones, adquisiciones y datos operativos.
El acceso ilícito también expuso 728,000 archivos subidos, 57,000 cuentas de usuario y 95 prompts del sistema. Al tener permisos de escritura, un atacante habría podido alterar en silencio las instrucciones del chatbot para manipular la información que reciben los más de 40,000 usuarios activos de la consultora.
Un error básico que los escáneres ignoraron
La brecha no requirió técnicas complejas de envenenamiento de IA. El agente de CodeWall encontró una documentación de API pública con 22 endpoints que no exigían autenticación.
Uno de estos puntos aceptaba cargas JSON y escribía las consultas en la base de datos. El agente detectó que los nombres de los campos JSON se concatenaban directamente en las sentencias SQL, una vulnerabilidad clásica que los programas de ciberseguridad tradicionales no detectaron.
“Cuando encontró claves JSON reflejadas textualmente en los mensajes de error de la base de datos, reconoció una inyección SQL que las herramientas estándar no detectarían”, explicaron los investigadores de CodeWall.
Tras completar 15 iteraciones ciegas, la IA extrajo información detallada hasta acceder a 3.68 millones de fragmentos de documentos RAG. Esta base de datos alimenta a Lilli con años de frameworks de investigación privada de McKinsey.
Respuesta corporativa y debate forense
El agente de CodeWall identificó el fallo a finales de febrero y reveló la cadena de ataque el 1 de marzo a través de la política de divulgación responsable de HackerOne. Al día siguiente, McKinsey parcheó los endpoints afectados, desconectó el entorno de desarrollo y bloqueó la documentación.
“Nuestra investigación, respaldada por una importante firma forense de terceros, no identificó evidencia de que este investigador o cualquier otro tercero no autorizado haya accedido a datos de clientes o información confidencial de clientes”, declaró un portavoz de McKinsey a The Register.
El analista independiente de seguridad Edward Kiledjian advirtió que el reporte técnico de CodeWall “exagera lo que realmente se demostró y difumina la línea entre tener acceso y realmente exfiltrar datos”.
Paul Price, CEO de CodeWall, alertó sobre la automatización del cibercrimen. “Los hackers utilizarán la misma tecnología y estrategias para atacar indiscriminadamente”, proyectando la extorsión financiera y el ransomware como las principales amenazas.
