Roban cientos de cuentas de Instagram enga�ando a la IA de Meta

TECNOLOG�AUn fallo en el asistente de recuperaci�n de cuentas de Meta permiti� a varios atacantes secuestrar perfiles muy codiciados durante varios d�as. Bastaba con convencer al chatbot detr�s del servicio t�cnicoActualizado Martes,

junio

07:05Para robar algunas de las cuentas m�s valiosas de Instagram no hace falta un sofisticado ataque inform�tico. Basta con ped�rselo a la inteligencia artificial de Meta. O, al menos, bastaba. Meta ha corregido ya esta embarazosa vulnerabilidad, que ha podido llegar a estar activa durante semanas pero que se volvi� extremadamente conocida y explotada el pasado fin de semana. El m�todo, que destaparon el domingo los investigadores ZachXBT y la cuenta Dark Web Informer, aprovechaba el asistente autom�tico que Instagram tiene para ayudar a recuperar perfiles a quienes olvidan su contrase�a. Los atacantes entablaban conversaci�n con ese chatbot, le hac�an creer que eran los due�os leg�timos de una cuenta y consegu�an que la IA pusiera en marcha el proceso de restablecimiento de contrase�a. Ning�n humano revisaba la operaci�n.El detalle que lo hace inquietante es lo poco que se necesitaba para empezar. Conocer el nombre de usuario del objetivo era pr�cticamente suficiente para iniciar el secuestro de la cuenta. Luego, una conexi�n a trav�s de una VPN que simulara estar en la ciudad de la v�ctima (una pista que la propia red social muestra en la secci�n p�blica del perfil) consegu�a no levantar las alarmas autom�ticas de Meta.Cuando el sistema ped�a un v�deo para confirmar la identidad, el �ltimo paso antes de ceder el control, los atacantes usaban una foto del perfil p�blico de la v�ctima, la animaban con un generador de v�deo por IA y sub�an el resultado como prueba. La IA de Meta lo aceptaba porque no distingu�a a una persona real frente a la c�mara de una cara sint�tica en movimiento.Los atacantes se habr�an centrado en secuestrar cuentas con nombres cortos de una sola palabra o pocas letras, que suelen tener un precio elevado en el mercado negro precisamente porque ya no es posible conseguirlos. Seg�n los primeros an�lisis, llegaron a controlar el perfil @obamawhitehouse (el archivo de la Casa Blanca de la era Obama) y el del sargento mayor jefe de la Fuerza Espacial de Estados Unidos, @ocmssf, que habr�an utilizado para difundir propaganda. Otras, como @hey, se revendieron en minutos a trav�s de canales privados de Telegram.Lo m�s alarmante es que ni la verificaci�n en dos pasos, que Meta recomienda activar por defecto, parece haber servido de escudo. Al tratar la recuperaci�n como un reinicio total de la cuenta por parte de su supuesto due�o leg�timo, el proceso lo ignoraba. Se cerraban las sesiones abiertas y se cambiaba lacontrase�a sin que llegara ning�n aviso por correo, SMS ni notificaci�n que funcionara como paso necesario para validar la operaci�n.Las v�ctimas se encontraban adem�s sin posibilidad de recurso. El correo y el tel�fono asociados ya eran los del atacante, as� que no era posible arrancar el proceso de recuperaci�n. Al otro lado de la l�nea de soporte t�cnico tampoco hab�a un humano, sino otra IA que era incapaz de ayudar y que no daba en ning�n momento la opci�n de escalar la situaci�n a un t�cnico humano.