Engañan a Meta AI para hackear cuentas de Instagram restableciendo sus contraseñas. El perfil de Obama ya lo sufrió

La obsesión de las Big Tech por integrar inteligencia artificial en cada rincón de sus plataformas acaba de costarle un disgusto a Meta. En su afán por automatizar la atención al usuario, el asistente de soporte de Meta AI en Instagram ha sufrido una vulnerabilidad que ha puesto cuentas en bandeja de plata a ciberdelincuentes. El caso más mediático lo protagonizó recientemente el perfil oficial de la Casa Blanca de la era de Barack Obama, secuestrado para publicar mensajes políticos e imágenes alteradas.

Sin embargo, el problema va más allá de este perfil. Este incidente destapado por investigadores de ciberseguridad, expone los riesgos de haber sustituido los protocolos de seguridad por agentes de IA que, visto lo visto, siguen siendo manipulables si se emplean las palabras exactas. Así ha funcionado este hackeo que ha afectado a Instagram.

El fallo estaba en la IA. Tal y como explican desde portales especializados como Cryptika y GBHackers, los atacantes no lograron vulnerar la infraestructura ni el backend de Meta. La vulnerabilidad residía solo en la capa lógica del asistente de IA. Al carecer de límites de peticiones, cualquier persona podía iniciar una conversación con el chatbot, usar técnicas de ingeniería social y convencerle para que reenviara los códigos de restablecimiento de contraseña a un correo no autorizado.

Según destapa Neowin, los atacantes usaban una conexión VPN para camuflar su ubicación y enviaban un simple prompt pidiendo vincular un nuevo correo. Una instrucción que la IA procesaba sin rechistar enviando el enlace de recuperación. Tan fácil como hacer eso.

El hackeo a Obama. El objetivo no hackear a usuarios anónimos, sino perfiles de alto valor con nombres cortos o raros. Investigadores como ZachXBT y Dark Web Informer descubrieron que estas cotizadas cuentas se robaban y se ponían a la venta a través de canales de Telegram. Por el camino también cayó la inactiva cuenta de Obama, que no publicaba desde 2017 y que fue usada para subir una foto generada por IA.

Incluso una experta de la materia como es Jane Manchun Wong denunció el secuestro de su perfil, afectada por un exploit que, según la información de Neowin, llevaba activo en la red social de imágenes desde el pasado mes de febrero. 

Parche de emergencia. Tras salir a la luz pública los informes, Meta se apresuró a solucionar el problema a última hora del pasado viernes. La compañía confirmó que habían solucionado el error que permitía a terceros solicitar el restablecimiento de las credenciales.

«Hemos solucionado un problema que permitía a terceros solicitar correos electrónicos para restablecer la contraseña de algunos usuarios de Instagram. No se ha producido ninguna violación de la seguridad de nuestros sistemas y las cuentas de Instagram de los usuarios siguen estando a salvo».

La salvación. En medio de este caos, hubo algo que funcionó a la perfección. De acuerdo a los expertos citados por Cryptika, las cuentas que estaban protegidas por autenticación de doble factor no se vieron comprometidas. Si por desgracia te has visto afectado, recuerda que puedes rescatar tu cuenta de Instagram de forma sencilla. 

Esta incidencia se entremezcla con la actual política de Meta: mientras Instagram desecha el cifrado de extremo a extremo de sus mensajes directos, la empresa ha despedido a más de 8.000 empleados bajo el pretexto de que los agentes de IA manejarían el soporte al usuario de buena manera.

Imagen de portada | Álvaro García M. y Xataka Móvil

En Xataka Móvil | Meta recopila tus datos para alimentar al círculo azul de Meta AI. Si quieres, puedes evitarlo