Instagram confirmó una vulnerabilidad en su sistema de soporte automatizado que permitió tomar el control de perfiles de Instagram. Entre las cuentas afectadas hubo una utilizada por la Casa Blanca durante la presidencia de Barack Obama.
Meta confirmó un incidente de ciberseguridad que expuso una falla en su asistente de inteligencia artificial y permitió que atacantes tomaran el control de múltiples cuentas de Instagram durante el último fin de semana.
Entre los perfiles comprometidos figuraron la cuenta de un Sargento Mayor de la Fuerza Espacial de Estados Unidos y un antiguo perfil utilizado por la Casa Blanca durante la presidencia de Barack Obama, que permanecía inactivo desde 2017.
Según trascendió, los atacantes lograron manipular el chatbot de soporte de Meta, una herramienta basada en inteligencia artificial destinada a asistir a los usuarios. A partir de esa vulnerabilidad consiguieron modificar contraseñas y métodos de recuperación de distintas cuentas.
Una vez obtenido el acceso, los responsables del ataque publicaron imágenes y mensajes de tono proiraní. Entre ellos apareció la frase: “La Casa Blanca está bajo el control de los chiitas”, difundida desde el perfil utilizado por la administración Obama.
Cómo aprovecharon la falla
Las primeras investigaciones indican que los atacantes no accedieron a una base de datos ni vulneraron directamente los sistemas centrales de Meta. En cambio, aprovecharon una debilidad en el sistema automatizado de soporte para sortear los controles de seguridad.
De acuerdo con el blog especializado The Cyber Secguru, la empresa debió aplicar un parche de emergencia durante el fin de semana para corregir la vulnerabilidad.
Meta explicó que el problema estuvo relacionado con un uso malicioso del asistente automatizado, que fue engañado para realizar acciones que normalmente deberían requerir verificaciones adicionales.
El mecanismo utilizado por los atacantes
Las reconstrucciones preliminares señalan que los hackers utilizaron una red privada virtual (VPN) para simular la ubicación habitual de las víctimas y evitar que se activaran alertas de seguridad.
Luego iniciaron una conversación con el chatbot de Meta AI. Y solicitaron incorporar una nueva dirección de correo electrónico como método de recuperación de la cuenta.
El asistente aceptó el pedido y envió un código de verificación al correo proporcionado por los propios atacantes. Con ese código, los hackers lograron acceder a la opción de restablecimiento de contraseña y finalmente tomaron el control total de los perfiles comprometidos.
La respuesta de Meta
Tras la difusión de numerosos reportes en redes sociales, Meta confirmó que el problema ya fue solucionado. “El problema fue solucionado y ya estamos protegiendo las cuentas afectadas”, afirmó Andy Stone, portavoz de Instagram.
Entre quienes denunciaron el incidente se encuentra la consultora tecnológica Jane Manchun Wong. Jane aseguró que sufrió cambios no autorizados en su contraseña y recibió varios intentos de restablecimiento de acceso incluso después de recuperar el control de su cuenta.
Preocupación por la seguridad de la inteligencia artificial
El episodio volvió a poner el foco sobre el papel de la inteligencia artificial en procesos sensibles vinculados a la seguridad digital y la atención a usuarios.
Especialistas en ciberseguridad recomiendan activar la autenticación en dos pasos, verificar periódicamente los correos electrónicos asociados a las cuentas y prestar atención a cualquier notificación de modificación de contraseña o métodos de recuperación.
El incidente demostró que una vulnerabilidad en sistemas automatizados puede convertirse en una puerta de entrada para comprometer perfiles, incluso dentro de algunas de las plataformas tecnológicas más utilizadas del mundo.
