Instagram ha solucionado un fallo que permitía a ciberdelincuentes acceder a cuentas de usuarios a través de su herramienta de soporte basada en inteligencia artificial. Según se ha podido ver en capturas y vídeos compartidos en redes sociales, el chatbot de IA de la plataforma permitía "secuestrar" perfiles.
Los atacantes supuestamente cambiaban contraseñas de otras cuentas falsificando su ubicación y solicitando a la IA que modificara los correos electrónicos asociados. "Este problema se ha resuelto y estamos asegurando las cuentas afectadas", comunicó Andy Stone, portavoz de Meta, en X.
Stone desmintió rotundamente las afirmaciones de que la vulnerabilidad hubiera sido utilizada para hackear cuentas de líderes mundiales. Informaciones de medios especializados apuntan a que las publicaciones sobre esta falla coincidieron con una serie de robos de cuentas de alto perfil en Instagram, incluyendo una verificada utilizada por Barack Obama durante su presidencia, que supuestamente publicó contenido pro-Irán antes de ser recuperada.
Se desconoce el número exacto de cuentas afectadas, pero entre quienes afirmaron haber sido víctimas se encuentra la investigadora de seguridad y exempleada de Meta, Jane Manchun Wong. Wong, que trabajó como ingeniera de seguridad en Meta, relató en X que su contraseña de Instagram fue cambiada sin su conocimiento y que había presenciado múltiples intentos de restablecimiento de contraseña.
Este incidente se produce en un contexto de creciente preocupación por el impacto de los sistemas de IA, cada vez más capaces, en la seguridad y los datos de los usuarios. Vídeos difundidos en redes sociales mostraban cómo se llevaban a cabo estos hackeos: un atacante buscaba el nombre de usuario de la cuenta deseada, utilizaba una VPN para simular estar en la ubicación del titular real y enviaba un mensaje al asistente de IA de Meta solicitando vincular un nuevo correo electrónico y enviar un código de verificación. El bot, al recibir el código, permitía cambiar la contraseña.
Un usuario de X lamentó la ausencia de "soporte humano" tras ser víctima de un hackeo, señalando irónicamente: "Estamos en el punto en que una IA lo robó y otra no puede arreglarlo, sin humanos involucrados". Marijus Briedis, director de tecnología de NordVPN, advirtió que cuando los chatbots de IA "tienen demasiada autoridad y poca verificación, pueden convertirse en un grave riesgo de seguridad". Briedis enfatizó que la recuperación de cuentas, "una de las partes más sensibles de cualquier plataforma", nunca debería depender solo de la conveniencia, ya que quien solicita el acceso podría no ser el propietario legítimo.
La BBC ha consultado a Meta sobre la disponibilidad de soporte humano para usuarios hackeados. La compañía ya ha sido objeto de críticas por la falta de asistencia en casos de hackeo o suspensión errónea de cuentas. Un organismo independiente en la UE señaló recientemente que Meta apenas responde cuando se plantean casos de usuarios baneados injustamente. La empresa, además, ha llevado a cabo importantes recortes de plantilla recientemente, a pesar de invertir miles de millones en IA.
Mənbə: BBC News
