Sears expuso las conversaciones de clientes con chatbot de IA a todos los usuarios de internet

El minorista estadounidense Sears sufrió una fuga grave de datos: las conversaciones de clientes con el chatbot de IA corporativo — incluidas grabaciones de llamadas telefónicas e intercambios de mensajes de texto — quedaron abiertamente accesibles en internet. Cualquiera podía verlas sin autorización y sin ninguna habilidad técnica especial. Según una investigación de la publicación Wired, lo que quedó públicamente expuesto no eran simplemente registros técnicos.

Las conversaciones contenían nombres de clientes, información de contacto, direcciones de correo electrónico y detalles específicos de compras — cuándo se realizó una compra, qué exactamente, y qué problemas surgieron. Esta es exactamente la información que es oro para los estafadores: conociendo el nombre de una persona, qué producto compró y cuándo contactó con soporte, un timador puede construir un escenario convincente de phishing. El esquema de ataque funciona así: un estafador llama a un cliente de Sears y se hace pasar por empleado de la empresa.

"Hola, María. Llamamos sobre su pedido de refrigerador del 12 de abril — hay problemas con la entrega". La persona no siente ninguna trampa: los detalles coinciden perfectamente.

Luego viene una solicitud para confirmar información de pago, pagar por "reentrega" o seguir un enlace para "confirmar su dirección". Este escenario se llama phishing selectivo (spear phishing) — funciona órdenes de magnitud más efectivo que los envíos masivos precisamente porque utiliza datos personales reales de la víctima. El incidente de Sears no es un caso aislado, sino un síntoma de un problema sistémico.

A medida que minoristas, bancos y empresas de servicios implementan masivamente chatbots de IA para atención al cliente, el volumen de datos personales que estos sistemas recopilan y almacenan crece rápidamente. Los chatbots modernos mantienen conversaciones completas, recuerdan el contexto de interacciones anteriores y tienen acceso al historial de pedidos. Esto los hace herramientas de soporte útiles — y simultáneamente puntos de fallo peligrosos cuando el almacenamiento de datos está configurado incorrectamente.

Desde una perspectiva de seguridad, los registros de conversación con chatbot son particularmente valiosos para los atacantes por varias razones. Los clientes se comunican con bots abiertamente — describiendo problemas con detalles que no compartirían con un extraño. Los datos están estructurados y fácilmente procesados: nombre, fecha, tipo de solicitud — un perfil listo para un ataque.

Finalmente, los usuarios no esperan que su correspondencia técnica con un bot pueda hacerse pública, y no ejercen la cautela de la forma que lo harían al completar formularios oficiales. La respuesta de Sears al incidente seguía siendo desconocida en el momento de la publicación. La empresa está pasando por tiempos difíciles: antaño la minorista estadounidense más grande, se ha reducido a una pequeña cadena después de años de dificultades financieras y quiebra en 2018.

Implementar herramientas de IA para reducir costos de atención al cliente tiene sentido lógico en una estrategia de supervivencia — pero ahorrar en seguridad de datos se convierte en riesgos que podrían costar significativamente más. Este caso plantea una pregunta más amplia: ¿qué tan preparadas están las empresas para implementar responsablemente sistemas de IA que trabajen con datos sensibles? La UE ya tiene la Ley de IA en vigor con requisitos de evaluación de riesgos.

En EE.UU., la FTC persigue consistentemente a empresas por protección inadecuada de datos de consumidores — y las filtraciones de esta magnitud claramente caen dentro del alcance de sus intereses.

Para usuarios comunes, la conclusión es simple: una llamada inesperada que sabe demasiado sobre sus compras puede no ser una coincidencia, sino una consecuencia directa de una filtración de la que nunca fue advertido.