Meta ha corregido y resuelto un fallo de seguridad en su asistente de soporte con inteligencia artificial que permitió a hackers robar cuentas de Instagram de alto valor al manipular el chatbot para cambiar la dirección de correo electrónico asociada sin verificar identidad ni autenticación multifactor.
El problema fue confirmado por Andy Stone, vicepresidente de Comunicaciones de Meta, quien publicó en su cuenta de X el lunes que «el problema ha sido resuelto y estamos asegurando las cuentas impactadas».
Los hackers descubrieron que el chatbot de Meta basaba la confirmación de cuenta según la ubicación del usuario, así que usaron una VPN para demostrar a la IA que su dirección física encajaba con la del usuario objetivo y ejecutar el proceso de sustracción.
El exploit consistía en pasos sencillos: en una conversación con el chat de soporte de IA de Meta, al pedirle que vincule la cuenta objetivo con una nueva dirección de correo electrónico, la IA enviaba un código de ocho dígitos a la dirección suministrada por el hacker.
Una vez el hacker introducía ese código, recibía un correo con el restablecimiento de contraseña que le daba acceso directo a la cuenta.
El exploit no respetaba la verificación en dos pasos en todos los casos, siendo las cuentas más vulnerables las que la tenían desactivada. Cuando el sistema pedía un selfie para confirmar identidad, los atacantes lo esquivaron con IA generativa.
Las víctimas más reconocidas incluyen la cuenta de Instagram de la Casa Blanca de la era Obama (inactiva desde 2017), la del sargento mayor John Bentivegna de la Space Force estadounidense y varios usuarios con nombres de usuario cortos o muy deseables que se revenden en el mercado negro.
Según 404 Media, los canales de Telegram especializados en servicios de Instagram de dudosa legalidad hicieron caja durante esos días, con el exploit circulando desde marzo entre ciertos grupos antes de hacerse público masivamente.
Meta ha implementado verificación en capas para acciones de alto riesgo, mejorando el registro de decisiones y monitoreando contextos de comportamiento en lugar de reglas estáticas simples. La compañía cerró el agujero, pero para muchos afectados llegó tarde: varios usuarios que perdieron sus cuentas durante el fin de semana se encontraron con que el propio sistema de soporte de Meta, el mismo que había servido para robarles el acceso, no les estaba siendo de utilidad para recuperarlo, y en muchos casos no había forma de hablar con una persona.
