Un fallo en el asistente de ayuda de Meta AI permitió a los ciberdelincuentes tomar el control de perfiles ajenos, solicitando al sistema el cambio del correo electrónico asociado para restablecer la contraseña. Como resultado, la compañía de Mark Zuckerberg ha reconocido en una carta de notificación de incidentes que más de 20.000 usuarios de Instagram han sufrido el robo de sus cuentas a raíz de los ataques perpetrados contra el sistema de soporte potenciado por IA.En la misma carta enviada al fiscal general estadounidense Aaron Frey por la consejera general asociada y responsable legal de Respuesta a Incidentes de Meta, Amber Hannah, Meta ha confirmado que el incidente ocurrió el 17 de abril y que, por ahora, no tiene información sobre los datos personales a los que se han accedido o que han sido robados. No obstante, la compañía ha señalado que los ciberdelincuentes podrían haber accedido a la información de contacto, publicaciones, contenido, mensajes directos, fechas de nacimiento, actividad de la cuenta y perfiles y servicios conectados.Ante dicha situación, Hannah ha señalado en la carta que "la herramienta funcionaba correctamente, pero que debido a un bug en una ruta de código independiente, el sistema no verificaba que la dirección de correo electrónico proporcionada coincidiera con la dirección de correo asociada a la cuenta de Instagram de ese usuario". Por lo tanto, los ciberdelincuentes aprovecharon que el sistema HTS (High Touch Support, por sus siglas en inglés) no verificaba si las direcciones de email estaban asociadas con las cuentas objetivo de Instagram, por lo que obtuvieron los enlaces de restablecimiento de contraseña para secuestrar las cuentas que no tenían habilitada la autenticación de dos factores (2FA).Meta asegura que el problema ya está resueltoTras conocer el incidente, Meta desactivó el servicio de soporte HTS potenciado por inteligencia artificial y todos los enlaces de restablecimiento de contraseña para evitar las sustracciones de cuentas. Por ahora, el vicepresidente de Comunicaciones de Meta, Andy Stone, ha dado a conocer en su perfil de la red social X que el problema ya ha sido resuelto y que están asegurando las cuentas impactadas.La compañía de Zuckerberg tiene planeado volver a lanzar el servicio, aunque antes debe corregir el sistema de autenticación para asegurar una verificación adecuada antes de restablecer la contraseña.¿A quién afectó este fallo de seguridad?Dicha vulnerabilidad afectó a la cuenta del Sargento Mayor Jefe de la Fuerza Espacial de Estados Unidos, a la cadena de cosméticos Sephora y al perfil de Barack Obama, de cuando fue el presidente de Estados Unidos.También, entre los afectados se encontró Jane Manchun Wong, reconocida investigadora de seguridad e ingeniera inversa, quien aseguró en la red social X que perdió el acceso a su cuenta tras múltiples intentos de restablecimiento no autorizados y cierres de sesión reiterados en Instagram para iOS.