Mercor confirma ciberataque relacionado con el proyecto LiteLLM de código abierto

Mercor, una destacada startup de reclutamiento en inteligencia artificial, confirmó un ciberataque vinculado a un incidente de seguridad relacionado con el proyecto de código abierto LiteLLM. La compañía informó que fue "una de miles de empresas" afectadas por una reciente violación de seguridad asociada al proyecto, que involucra al grupo de hackers TeamPCP.

El anuncio se produjo el martes, mientras que el grupo de extorsión Lapsus$ afirmó haber dirigido sus ataques hacia Mercor y haber accedido a datos de la empresa. Sin embargo, no se aclaró de inmediato cómo el grupo Lapsus$ logró obtener los datos robados como parte del ciberataque de TeamPCP.

Fundada en 2023, Mercor colabora con empresas como OpenAI y Anthropic para entrenar modelos de inteligencia artificial mediante la contratación de expertos en diversas áreas, incluidos científicos, médicos y abogados, principalmente de India. La startup reporta más de 2 millones de dólares en pagos diarios y fue valorada en 10 mil millones de dólares tras una ronda de financiamiento Serie C de 350 millones de dólares liderada por Felicis Ventures en octubre de 2025.

La portavoz de Mercor, Heidi Hagberg, confirmó que la empresa había "actuado rápidamente" para contener y remediar el incidente de seguridad. "Estamos llevando a cabo una investigación exhaustiva con el apoyo de expertos forenses de terceros", comentó Hagberg. Además, aseguró que continuarán comunicándose directamente con sus clientes y contratistas según sea necesario y que dedicarán los recursos necesarios para resolver el asunto lo antes posible.

Previamente, Lapsus$ había asumido la responsabilidad de la violación de datos en su sitio de filtraciones, compartiendo una muestra de datos que supuestamente fueron extraídos de Mercor. La muestra incluía material relacionado con datos de Slack y lo que parecía ser información sobre tickets, así como dos videos que supuestamente mostraban conversaciones entre los sistemas de inteligencia artificial de Mercor y los contratistas en su plataforma.

Hagberg se abstuvo de responder preguntas sobre si el incidente estaba relacionado con las afirmaciones de Lapsus$, o si se había accedido, exfiltrado o mal utilizado datos de clientes o contratistas.

El compromiso de LiteLLM se hizo evidente la semana pasada, cuando se descubrió código malicioso en un paquete asociado al proyecto de la startup respaldada por Y Combinator. Aunque se identificó y eliminó el código malicioso en pocas horas, el incidente generó preocupación debido al uso generalizado de LiteLLM, que se descarga millones de veces al día, según la firma de seguridad Snyk. Esto llevó a LiteLLM a modificar sus procesos de cumplimiento, incluyendo el cambio de la controvertida startup Delve a Vanta para las certificaciones de cumplimiento.

Continúan las investigaciones para determinar cuántas empresas se vieron afectadas por el incidente relacionado con LiteLLM y si se produjo alguna exposición de datos.