El asistente de IA de Meta permitió cambiar correos sin verificar identidad.
Meta ha corregido un fallo que permitió utilizar su asistente de inteligencia artificial para sustraer cuentas de Instagram de alto perfil. La vulnerabilidad consistía en solicitar al ‘chatbot’ el cambio del correo electrónico vinculado a una cuenta, lo que abría la puerta a accesos no autorizados. El problema afectó al sistema de soporte lanzado para recuperar cuentas bloqueadas, disponible desde su despliegue oficial en marzo en Estados Unidos y Canadá.
➡️ Te puede interesar: Máster Profesional en Ciberseguridad, Ciberinteligencia y Ciberdefensa
El asistente de IA había sido presentado en diciembre en fase preliminar con el objetivo de simplificar el proceso de recuperación de cuentas en Facebook e Instagram. Sin embargo, el sistema mostraba debilidades críticas. No verificaba la identidad ni exigía autenticación multifactor, incluso cuando esta estaba activada, lo que facilitaba el acceso indebido, según demostraron investigadores de seguridad el pasado fin de semana.
La falta de verificación y el uso de VPN facilitaron el acceso de los atacantes
Además, los atacantes aprovecharon que el sistema validaba la identidad en función de la ubicación. Los ciberdelincuentes usaron una VPN para simular que se encontraban en la misma ubicación que la víctima, lo que permitía completar el proceso. A continuación, iniciaban una conversación con el asistente y solicitaban vincular la cuenta a un nuevo correo. La IA enviaba un código de ocho dígitos al correo proporcionado por el atacante, que al introducirlo recibía un enlace de restablecimiento de contraseña con acceso directo a la cuenta.
➡️ Te puede interesar: Curso de Prevención y Gestión de Ciberriesgos y Ciberataques
La aparición del fallo coincidió con comportamientos anómalos en cuentas relevantes como las de Barack Obama, la Fuerza Espacial o Sephora. Meta confirmó la corrección de la vulnerabilidad. «El problema ha sido resuelto y estamos asegurando las cuentas impactadas», afirmó el vicepresidente de Comunicaciones, Andy Stone. No obstante, la compañía no ha detallado el número de cuentas afectadas, mientras que, según 404 Media, usuarios ya habían alertado del problema en Telegram desde marzo.
