Hackers roban cuentas de Instagram usando la propia IA de Meta; la empresa asegura haber corregido la falla
Instagram asegura haber solucionado una vulnerabilidad de seguridad que habría permitido a ciberdelincuentes tomar control de cuentas de usuarios utilizando el asistente de soporte impulsado por inteligencia artificial de la plataforma.
En días recientes, varios usuarios reportaron en foros y redes sociales que sus cuentas habían sido comprometidas. Entre los perfiles afectados se encontraban la cuenta oficial de la White House, inactiva desde 2017, y la del John Bentinvegna, sargento mayor jefe de la Fuerza Espacial de los Estados Unidos.
La investigadora de ciberseguridad Jane Wong reveló que su cuenta también fue tomada por terceros.
Según explicó, la contraseña fue modificada sin su autorización y comenzó a recibir múltiples intentos de restablecimiento de acceso.
“Mi contraseña fue cambiada sin que yo lo supiera y recibí varios intentos de restablecimiento durante todo el día. Es bastante preocupante”, señaló.
De acuerdo con videos difundidos en redes sociales, los atacantes aprovechaban una falla en el proceso de verificación del chatbot de soporte de Meta.
El método consistía en utilizar una VPN para simular la ubicación de la víctima y posteriormente abrir una conversación con el asistente de soporte basado en inteligencia artificial.
Los atacantes solicitaban al chatbot agregar una nueva dirección de correo electrónico a la cuenta objetivo. El sistema enviaba entonces un código de verificación al correo proporcionado por el propio atacante.
Tras ingresar el código recibido, el chatbot habilitaba una opción para restablecer la contraseña de la cuenta, permitiendo al ciberdelincuente establecer una nueva clave y tomar el control total del perfil.
Lo más preocupante del caso es que, según los reportes, en ningún momento era necesario acceder al correo electrónico legítimo vinculado a la cuenta de la víctima.
El portavoz de Instagram, Andy Stone, confirmó que la vulnerabilidad ya fue corregida.
La compañía no ha revelado cuántos usuarios pudieron verse afectados ni durante cuánto tiempo estuvo activa la falla.
Hasta ahora, tampoco se han dado a conocer detalles técnicos adicionales sobre las medidas implementadas para evitar que el problema vuelva a repetirse.
El incidente vuelve a poner bajo escrutinio el uso de herramientas de inteligencia artificial para procesos sensibles relacionados con la seguridad de las cuentas de usuarios.
Especialistas han advertido que, aunque estos sistemas agilizan la atención y resolución de problemas, también pueden convertirse en objetivos atractivos para atacantes si no cuentan con mecanismos de verificación suficientemente robustos.
