Meta corrigió una vulnerabilidad que permitía utilizar su nuevo asistente de soporte basado en inteligencia artificial (IA) para robar cuentas de Instagram de alto perfil. El fallo hacía posible que un atacante solicitara al ‘chatbot’ cambiar la dirección de correo electrónico asociada a la cuenta objetivo sin pasar por controles de seguridad suficientes.Meta refuerza la seguridad de adolescentes en Instagram, Facebook y Messenger con nuevas restriccionesLa compañía lanzó en diciembre pasado una versión preliminar de este asistente de IA con el propósito de agilizar la recuperación de cuentas bloqueadas en Facebook e Instagram. Posteriormente, en marzo, presentó la versión definitiva de la herramienta, disponible desde entonces en Estados Unidos y Canadá.Durante el fin de semana, varios investigadores de ciberseguridad revelaron en X lo sencillo que resultaba obtener acceso a cuentas de Instagram mediante el nuevo sistema de soporte de Meta. Según explicaron, el asistente no verificaba correctamente la identidad del usuario ni requería autenticación multifactor, incluso cuando esta medida estaba activada.Los atacantes descubrieron que el ‘chatbot’ validaba parcialmente la autenticidad de la cuenta basándose en la ubicación del usuario. Para aprovechar esta debilidad, bastaba con utilizar una VPN y simular una conexión desde la misma ubicación geográfica de la víctima para avanzar en el proceso de recuperación de la cuenta.El fallo permitía robar cuentas de Instagram de alto perfil. Foto: NurPhoto via Getty ImagesEl procedimiento era relativamente simple. Durante una conversación con el asistente de soporte de IA, el atacante solicitaba vincular la cuenta objetivo a una nueva dirección de correo electrónico. Acto seguido, el sistema enviaba un código de ocho dígitos al correo proporcionado por el hacker.Una vez ingresado ese código, el atacante recibía un mensaje de restablecimiento de contraseña, lo que le otorgaba acceso directo a la cuenta comprometida.La aparición de esta vulnerabilidad coincidió con una serie de comportamientos inusuales en cuentas verificadas de Instagram, entre ellas las del expresidente estadounidense Barack Obama, la Casa Blanca, el Jefe del Estado Mayor de la Fuerza Espacial de Estados Unidos y la marca Sephora.El asistente de IA no verificaba correctamente la identidad de los usuarios. Foto: 123RFMeta aseguró que el problema ya fue solucionado. “El problema ha sido resuelto y estamos asegurando las cuentas impactadas”, escribió este lunes el vicepresidente de Comunicaciones de Meta, Andy Stone, a través de su cuenta en X.Hasta el momento, la compañía no ha entregado más detalles sobre lo sucedido ni ha precisado cuántas cuentas pudieron verse afectadas. Sin embargo, según informó el medio 404 Media, varios usuarios ya habían advertido sobre esta vulnerabilidad en Telegram desde marzo.*Con información de Europa Press
Hackers robaban cuentas de Instagram usando la IA de Meta: así se corrigió el fallo de seguridad del chatbot
Los atacantes podían cambiar el correo electrónico asociado a una cuenta objetivo.
427 words~2 min read
