Cómo hackeamos la plataforma de IA de McKinsey

 (codewall.ai)
2 puntos por GN⁺ 2026-03-12 | 1 comentarios | Compartir por WhatsApp
  • En Lilli, la plataforma de IA que McKinsey construyó para uso interno de sus empleados, se obtuvo acceso de lectura y escritura a toda la base de datos mediante una vulnerabilidad accesible sin autenticación
  • El ataque fue realizado por un agente de seguridad autónomo; de unos 200 endpoints en la documentación pública de la API, 22 eran accesibles sin autenticación, y la intrusión se logró mediante una inyección SQL en uno de ellos
  • La base de datos contenía información interna sensible, incluidos 46.5 millones de mensajes de chat, 728 mil archivos y 57 mil cuentas de usuario
  • El agente además expuso toda la estructura operativa de IA de McKinsey, incluidos configuraciones de modelos de IA, prompts del sistema, fragmentos de documentos RAG y flujos de datos hacia APIs externas
  • Este incidente muestra que la capa de prompts (prompt layer) está emergiendo como un nuevo punto de vulnerabilidad, y que la protección de la integridad de las instrucciones en sistemas de IA se está convirtiendo en una tarea clave

Resumen de la plataforma Lilli

  • McKinsey construyó en 2023 la plataforma interna de IA Lilli para más de 43,000 empleados
    • Ofrece chat, análisis de documentos, búsqueda basada en RAG y funciones de búsqueda en más de 100 mil documentos internos
    • Procesa más de 500 mil prompts al mes y la usa más del 70% de los empleados
  • El nombre de la plataforma proviene del nombre de la primera empleada profesional mujer de la empresa en 1945

Proceso de intrusión

  • Un agente de ataque autónomo exploró la documentación pública de la API y confirmó que 22 de unos 200 endpoints eran accesibles sin autenticación
  • Uno de esos endpoints registraba en la base de datos las consultas de búsqueda de usuarios, y como una clave JSON se concatenaba directamente en una sentencia SQL, se produjo una inyección SQL
    • Era una vulnerabilidad que herramientas existentes como OWASP ZAP no detectaron
  • El agente identificó la estructura de la consulta mediante 15 solicitudes repetidas y extrajo datos reales de producción
    • Cuando se expuso el primer identificador de empleado, registró la reacción “WOW!”, y al confirmar la exposición masiva de datos registró “This is devastating.”

Datos expuestos

  • 46.5 millones de mensajes de chat: conversaciones sensibles sobre estrategia, proyectos de clientes, finanzas, M&A e investigación interna almacenadas en texto plano
  • 728 mil archivos: incluidos 192 mil PDF, 93 mil Excel, 93 mil PowerPoint y 58 mil Word
    • Los nombres de archivo por sí solos ya eran sensibles, y existían URLs para descarga directa
  • Quedó expuesta la estructura de 57 mil cuentas de usuario, 384 mil asistentes de IA y 94 mil espacios de trabajo

Exposición adicional más allá de la base de datos

  • Quedaron expuestos 95 prompts del sistema y configuraciones de modelos de IA, junto con información de configuración de 12 tipos de modelos
    • Incluían instrucciones de comportamiento de la IA, guardrails y detalles de despliegue y modelos ajustados finamente
  • Quedaron expuestos 3.68 millones de fragmentos de documentos RAG, junto con rutas S3 y metadatos internos
    • Incluían investigación propietaria y metodologías de McKinsey acumuladas durante décadas
  • Flujo de datos a través de APIs externas de IA: quedaron expuestos 1.1 millones de archivos, 217 mil mensajes de agentes y más de 266 mil almacenes vectoriales de OpenAI
  • Al encadenar una vulnerabilidad IDOR, incluso fue posible acceder al historial de búsquedas de empleados individuales

Riesgo de la capa de prompts

  • La inyección SQL también incluía permiso de escritura
    • Como los prompts del sistema de Lilli estaban almacenados en la misma base de datos, un atacante podía modificarlos
    • Con una sola solicitud HTTP era posible cambiar las instrucciones de comportamiento de la IA
  • Impacto potencial
    • Asesoría manipulada: riesgo de alteración en modelos financieros o propuestas estratégicas
    • Filtración de datos: posibilidad de insertar información interna en respuestas de la IA y exponerla al exterior
    • Eliminación de guardrails: posibilidad de ignorar controles de acceso y exponer datos internos
    • Persistencia encubierta: se alteraría solo el comportamiento de la IA sin cambios en logs ni en el código
  • Los prompts son activos de alto valor con una gestión de seguridad más deficiente que el código o los servidores; casi no existen controles de acceso, versionado ni verificación de integridad
  • Se plantea la conclusión de que “los prompts de IA son la nueva joya de la corona”

Significado del incidente

  • A pesar de que McKinsey es una empresa con capacidades tecnológicas globales e inversión en seguridad, una inyección SQL clásica existió en un sistema en operación durante 2 años
  • El agente autónomo exploró y amplificó en cadena vulnerabilidades que los escáneres basados en checklist no detectaron
  • CodeWall es la plataforma de seguridad autónoma que llevó a cabo este ataque, y ofrece pruebas de seguridad basadas en IA para revisar continuamente la superficie de ataque real

Cronograma de divulgación

  • 2026-02-28: el agente autónomo descubre la inyección SQL y comienza la enumeración de la base de datos
  • 2026-02-28: se confirma toda la cadena de ataque y se documentan 27 vulnerabilidades
  • 2026-03-01: se reporta al equipo de seguridad de McKinsey un resumen del impacto
  • 2026-03-02: el CISO de McKinsey confirma recepción y solicita evidencia detallada
  • 2026-03-02: McKinsey corrige todos los endpoints sin autenticación, desconecta el entorno de desarrollo y bloquea la documentación pública de la API
  • 2026-03-09: anuncio público

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-03-12
Opiniones de Hacker News

  • Conozco un poco la situación interna, y Lilli era un sistema solo para uso interno hasta hace un año
    Requería todos los procedimientos de seguridad, como VPN y SSO, pero no sé cuándo pasó a ser público
    McKinsey incluso tiene que contratar a una empresa externa de pruebas de penetración para hacer pruebas internas pequeñas
    Desde la perspectiva de los desarrolladores de Lilli, este error es comprensible. Tuvieron que fallar varios procedimientos de seguridad al mismo tiempo para que quedara expuesto un endpoint accesible desde fuera
    Pero esta vez fue un error con autenticación casi nula
    Lo más probable es que algún socio senior haya usado su influencia para volver público a Lilli
    En ese momento, la mayor parte del equipo original ya se había movido a otros proyectos, y como los proyectos internos perjudican la evaluación, el personal que quedó no tenía motivación
    Al final, esto es un fracaso de la cultura tecnológica de McKinsey

    • McKinsey tiene una estructura extrañamente compleja. Como todos son evaluados por el “impacto al cliente”, termina siendo un sistema de sálvese quien pueda
      Los desarrolladores trabajan sin una dirección clara, y cuando un socio lanza una idea, todos corren con ella para obtener una buena evaluación
      Pero antes de que el proyecto termine, el socio ya se fue a otra cosa, y quienes se quedan no tienen motivo para cerrarlo
      Por eso la mayoría de los productos parecen una colección de ideas improvisadas por el liderazgo
      Si tratas el software como si fuera una consultoría de seis meses, obviamente se rompe
      Que hayan despedido en masa a ingenieros capaces en 2024 también muestra cómo entienden la tecnología
      A medida que esta cultura se traslada a otras empresas, se va extendiendo una cultura centrada en resultados de corto plazo, como cambios constantes de UI
    • En conclusión, si McKinsey ni siquiera puede manejar bien su propia tecnología, no se le debería confiar la consultoría sobre adopción de IA o diseño de organizaciones tecnológicas
    • Quizá Lilli se hizo pública por el chatbot de reclutamiento
      Artículo relacionado: McKinsey challenges graduates to use AI chatbot in recruitment overhaul (FT)
    • Me pregunto si en QuantumBlack pasa lo mismo. Al menos ahí los activos de la plataforma Brix sí parecen estar al día
    • No entiendo por qué una firma de contabilidad o consultoría de gestión se mete con tecnología
      Al final parece que solo la mantienen hasta que la pueden empaquetar y vender
      Las soluciones de IA duran poco y cambian demasiado rápido. Si estoy equivocado, me gustaría aprender

  • La fuga de datos ya es grave, pero da más miedo que hubiera permiso de escritura sobre el system prompt
    Con una sola consulta UPDATE se podía cambiar la lógica de respuesta de 43 mil consultores
    Era posible manipularlo en silencio, sin despliegues, revisión de código ni logs
    De esta forma incluso se podría contaminar el contenido de la consultoría estratégica
    Sinceramente, la mayoría de las empresas guarda los prompts simplemente en una tabla de Postgres

  • Un endpoint sin protección registraba en la DB las consultas de búsqueda de los usuarios; los valores estaban parametrizados, pero las claves JSON se concatenaban directamente al SQL
    No fue prompt injection, sino una inyección SQL tradicional

    • Me decepciona un poco que haya sido una inyección SQL tan común. Aun así, es interesante que la encontrara un agente de escaneo de vulnerabilidades basado en LLM
    • Me pregunto cuántos casos habrá de código escrito por LLM que llegó a producción con errores así
      Al final, parece que esto va a llevar a un aumento en la demanda de investigadores de seguridad
    • Aunque sea conocimiento básico poner oauth2-proxy al frente cuando despliegas en internet, da amargura ver que con eso no se gana dinero mientras Anthropic gana miles de millones

  • Me incomodan un poco los títulos del tipo “AI agent does X”
    En realidad fueron pentesters usando un agente de IA quienes eligieron y probaron a McKinsey
    Últimamente la gente se confunde y cree que estos sistemas de verdad tienen “capacidad de tomar decisiones”, así que habría que expresarlo con más claridad

    • El título original, “How We Hacked McKinsey's AI Platform”, era más preciso
    • En el momento en que lo llamas “agentic systems” ya lo estás antropomorfizando
    • Al final no es más que un título publicitario para conseguir clics
    • El título ya fue corregido otra vez al original (“AI Agent Hacks McKinsey” → regreso al título original)

  • La expresión “McKinsey & Company — world-class technology teams” es exagerada
    En realidad no se les evalúa así

    • Parece una frase escrita por un LLM, así que inevitablemente trae algo de autobombo
    • McKinsey es buena analizando sistemas y proponiendo mejoras, pero la implementación la llevan equipos externos de desarrollo
      (Lo digo por experiencia trabajando con McKinsey en un gran banco de inversión)
    • Sus equipos tecnológicos no son de clase mundial. En cambio, su capacidad de consultoría de gestión sí es de primer nivel
    • También depende del tipo de cliente. Si es un proyecto para mejorar valor para el cliente, son normales; si es reestructuración o temas de corrupción, la historia es muy distinta

  • No sé quién es Codewall AI. No hay ninguna mención oficial de que McKinsey realmente haya parchado esto
    Incluso en Google search results casi no hay información

    • Yo tampoco tengo información, así que creo que hace falta que McKinsey o el equipo de seguridad presenten pruebas
    • Según el artículo de The Register, parece que McKinsey sí lo reconoció
      Artículo relacionado
      Por cierto, el CEO es eth0izzle (GitHub)
    • Desde Codewall dijeron directamente: “somos una empresa nueva, McKinsey no comentó en nuestro post, pero sí respondió a The Register”
    • Si entre los datos filtrados había 58 mil usuarios, eso significaría que también había exempleados, y podría activarse una obligación legal de notificación

  • La lección de este incidente es que los agentes de IA exponen rápidamente las debilidades de los sistemas internos
    Las herramientas empresariales tradicionales fueron diseñadas bajo la premisa de que las usarían humanos, así que la autenticación, la revisión y los procesos funcionaban como líneas de defensa implícitas
    Pero cuando entran agentes autónomos, esa capa de protección se derrumba
    De ahora en adelante se necesitará una capa de validación automatizada: habrá que revisar continuamente control de acceso, exposición de datos y comportamientos no intencionales

  • Este texto es un artículo escrito por un LLM, y parte de la información es inexacta
    Eso significa que no hubo suficiente revisión humana, así que la confiabilidad del artículo completo es baja

  • “Más de 200 documentos de API expuestos públicamente, y 22 de ellos accesibles sin autenticación”
    Esa sola frase lo explica todo

  • Recuerdo que hace tiempo un equipo de McKinsey impulsaba con fuerza Watson. Fue un fracaso total
    Desde antes ya había puro hype sobre IA y poca sustancia real
    No sé en otros temas, pero si ves a alguien de McKinsey hablando de IA, hay que salir corriendo