Los hackers se apoderaron de un gran número de cuentas de Instagram de alto perfil el fin de semana pasado después de engañar al chatbot de soporte de inteligencia artificial de Meta para que les entregara códigos de restablecimiento de contraseña. Las víctimas incluyeron la cuenta oficial de Instagram del expresidente Barack Obama, la presencia en las redes sociales de la tienda de maquillaje Sephora y un sargento de la Fuerza Espacial de EE. UU. Los investigadores de seguridad expusieron primero la falla, lo que llevó a Meta a cerrar la explotación y comenzar la remediación.

El ataque se basó en un simple guión de ingeniería social. Los atacantes abrieron un chat con el asistente de soporte de inteligencia artificial y le pidieron que cambiara la dirección de correo electrónico vinculada a una cuenta objetivo. El bot, diseñado para operar sin supervisión humana, cumplió y inició un restablecimiento de contraseña. Luego envió un código de acceso de un solo uso a la dirección de correo electrónico que el atacante había ingresado. Los hackers copiaron ese código de regreso al chat, lo que llevó al bot de inteligencia artificial a revelar un botón "Restablecer contraseña". Hacer clic en el botón les permitió establecer una nueva contraseña y asumir el control total de la cuenta.

Debido a que el bot de inteligencia artificial no requirió verificación de identidad adicional, los hackers nunca necesitaron la contraseña original ni el correo electrónico del propietario legítimo. En varios casos, utilizaron una VPN para parecer que estaban ubicados en la región del objetivo, y el bot se complació sin hacer preguntas. Los usuarios informaron que fueron bloqueados de sus cuentas, con algunos notando intentos repetidos de restablecimiento de contraseña que nunca iniciaron.

La vulnerabilidad se debió a la decisión de Meta, tomada en marzo, de reemplazar a los agentes humanos con un chatbot de inteligencia artificial para solicitudes de ayuda de cuenta rutinarias. Si bien el movimiento prometió asistencia las 24 horas del día, los 7 días de la semana, también eliminó el juicio humano que podría haber marcado la actividad sospechosa. Los investigadores ZachXBT y Dark Web Informer fueron los primeros en publicar la explotación, señalando que algunas cuentas robadas se ofrecieron a la venta a precios que alcanzaron $1 millón.

La respuesta de Meta llegó rápidamente. Un portavoz de Instagram confirmó en X que la explotación ha sido solucionada y que la empresa está "asegurando las cuentas afectadas". La empresa aún no ha proporcionado un cronograma detallado para los esfuerzos de remediación. Mientras tanto, los expertos en seguridad enfatizan que el ataque podría haberse evitado si las víctimas habían habilitado la autenticación de múltiples factores (MFA). Las cuentas protegidas por MFA requieren un código enviado a un dispositivo de confianza, que el bot de inteligencia artificial no podía interceptar.

Para protegerse contra ataques similares, los expertos recomiendan a los usuarios habilitar MFA en todas las plataformas de Meta, adoptar passkeys donde estén disponibles y considerar el uso de una dirección de correo electrónico privada para la recuperación de cuentas. Si bien ninguna medida de seguridad es infalible, MFA habría bloqueado por completo la explotación de restablecimiento de contraseña.

El incidente destaca los riesgos de confiar únicamente en sistemas automatizados para funciones de seguridad sensibles. A medida que las herramientas de inteligencia artificial se vuelven más comunes en el soporte al cliente, las empresas pueden necesitar encontrar un equilibrio entre la eficiencia y la supervisión humana necesaria para detectar y detener la actividad maliciosa.

This article was written with the assistance of AI.
News Factory APP - agentic news to boost your SEO & AEO.