Mercor, una destacada startup de reclutamiento con inteligencia artificial, confirmó esta semana que fue víctima de un incidente de seguridad relacionado con un ataque a la cadena de suministro que comprometió el proyecto de código abierto LiteLLM. La empresa de inteligencia artificial comunicó a TechCrunch el martes que fue “una de miles de compañías” afectadas por el compromiso reciente del proyecto LiteLLM, vinculado al grupo de hackers conocido como TeamPCP.
La confirmación del incidente de seguridad se produjo después de que el grupo de extorsión Lapsus$ afirmara haber atacado a Mercor y obtenido acceso a sus datos corporativos. No está claro de inmediato cómo el grupo Lapsus$ obtuvo los datos robados de Mercor como parte del ciberataque perpetrado por TeamPCP.
Detalles del ataque a la cadena de suministro
El compromiso de LiteLLM salió a la luz la semana pasada después de que se descubriera código malicioso en un paquete asociado con el proyecto de código abierto de esta startup respaldada por Y Combinator. Aunque el código malicioso fue identificado y eliminado en cuestión de horas, el incidente generó escrutinio debido al uso generalizado de LiteLLM en Internet, con la biblioteca descargada millones de veces al día, según la firma de seguridad Snyk.
El ataque a la cadena de suministro representa una amenaza particularmente seria porque afecta a múltiples organizaciones simultáneamente a través de un componente de software compartido. TeamPCP logró insertar código malicioso en el proyecto LiteLLM, comprometiendo potencialmente a todas las empresas que utilizaban la biblioteca durante el período de exposición.
Respuesta de Mercor al incidente de seguridad
Heidi Hagberg, portavoz de Mercor, confirmó a TechCrunch que la compañía “actuó rápidamente” para contener y remediar el incidente de seguridad. “Estamos realizando una investigación exhaustiva con el apoyo de expertos forenses externos líderes”, declaró Hagberg.
La portavoz añadió que la empresa continuará comunicándose directamente con sus clientes y contratistas según sea apropiado y dedicará los recursos necesarios para resolver el asunto lo antes posible. Sin embargo, Hagberg declinó responder preguntas de seguimiento sobre si el incidente estaba conectado con las afirmaciones de Lapsus$, o si se accedió, exfiltró o hizo mal uso de datos de clientes o contratistas.
Datos potencialmente comprometidos
Anteriormente, Lapsus$ reclamó responsabilidad por la aparente violación de datos en su sitio de filtraciones y compartió una muestra de datos supuestamente tomados de Mercor, que TechCrunch revisó. La muestra incluía material que hacía referencia a datos de Slack y lo que parecían ser datos de tickets, así como dos videos que supuestamente mostraban conversaciones entre los sistemas de inteligencia artificial de Mercor y contratistas en su plataforma.
Perfil de Mercor y alcance del incidente
Fundada en 2023, Mercor trabaja con empresas como OpenAI y Anthropic para entrenar modelos de IA mediante la contratación de expertos especializados en dominios específicos, como científicos, médicos y abogados de mercados que incluyen India. La startup afirma facilitar más de 2 millones de dólares en pagos diarios y fue valorada en 10 mil millones de dólares tras una ronda Serie C de 350 millones de dólares liderada por Felicis Ventures en octubre de 2025.
Además, el incidente provocó que LiteLLM realizara cambios en sus procesos de cumplimiento, incluyendo el cambio de la controvertida startup Delve a Vanta para certificaciones de cumplimiento normativo. Estas modificaciones buscan prevenir futuros ataques a la cadena de suministro en el ecosistema de software de código abierto.
Permanece incierto cuántas empresas fueron afectadas por el incidente relacionado con LiteLLM o si ocurrió alguna exposición de datos, mientras las investigaciones continúan. Los expertos en ciberseguridad esperan que las investigaciones forenses proporcionen mayor claridad sobre el alcance total del compromiso en las próximas semanas. La comunidad de seguridad también está monitoreando si surgirán más víctimas relacionadas con este ataque a la cadena de suministro.