Guille Lomener
EditorMeta lanzó su asistente de soporte con IA en diciembre para que pudiéramos resolver los problemas de cuenta a cualquier hora. Sin esperar a que alguien al otro lado del mundo nos respondiera. Reportar fraudes, gestionar contenido, recuperar un acceso. Cosas útiles, pensadas para proteger y ayudar al usuario. Pero el fin de semana pasado, ese mismo chatbot se convirtió en la herramienta perfecta para hacer exactamente lo contrario.
En el vídeo que circuló por redes se ve un iPhone, una VPN y una conversación con el bot de Meta. Con eso bastaba para entrar en la cuenta de Instagram de quien quisieras, siempre que no tuviera verificación en dos pasos activada. Entre las víctimas, la cuenta archivada de la Casa Blanca de la era Obama, el sargento mayor de la Space Force de Estados Unidos y varios usuarios muy cotizados en la plataforma.
El chatbot que abría puertas sin pedir identificación
El proceso que muestra el vídeo filtrado es alucinante. El atacante arranca un proceso de recuperación de cuenta, selecciona el asistente de soporte de Meta AI como método y le pide al bot que añada una nueva dirección de correo a la cuenta objetivo.
El chatbot lo hace sin rechistar, sin verificar que quien pregunta tiene algo que ver con esa cuenta. Manda un código de verificación al email que el atacante acaba de proporcionar, el atacante lo comparte con el bot y, en ese momento, aparece un botón para restablecer la contraseña. Fin.
Proceso de recuperación de cuenta (ajena)
Meta había diseñado el sistema para reconocer dispositivos habituales y ubicaciones familiares. Para saltarse esa capa de protección geográfica bastaba con una VPN apuntando a la ciudad del objetivo, algo que se configura en segundos. En los casos donde el sistema pedía un selfie para confirmar la identidad, los atacantes lo esquivaron con IA generativa. El exploit tampoco respetaba la verificación en dos pasos en todos los casos, aunque las cuentas más vulnerables eran las que la tenían desactivada.
La lista de afectados es bastante amplia. Las más reconocidas son la cuenta de Instagram de la Casa Blanca de la era Obama, inactiva desde 2017. También la del sargento mayor John Bentivegna, de la Space Force estadounidense. Y varios usuarios más que tenían nombres de usuario cortos o muy deseables, que son exactamente el tipo de cuenta que se revende en el mercado negro.
Porque ahí está el otro lado del asunto. Según reportó 404 Media, los canales de Telegram especializados en servicios de Instagram de dudosa legalidad hicieron caja durante esos días. El exploit llevaba circulando desde marzo entre ciertos grupos, mucho antes de que se hiciera público de forma masiva. Lo que ocurrió fue que alguien decidió publicarlo abiertamente y, a partir de ahí, las tomas de cuentas se dispararon.
El parche llegó, pero las víctimas siguen sin cuenta
Andy Stone, vicepresidente de comunicaciones de Meta, confirmó el lunes en X que el problema estaba resuelto y que la compañía estaba trabajando para asegurar las cuentas afectadas. Meta cerró el agujero, pero para muchos de los afectados eso llegó tarde.
Varios usuarios que perdieron sus cuentas durante el fin de semana se encontraron con que el propio sistema de soporte de Meta, el mismo que había servido para robarles el acceso, no les estaba siendo de utilidad para recuperarlo. Y lo más frustrante: en muchos casos no había forma de hablar con una persona. El soporte automatizado como único camino disponible, precisamente después de que ese soporte automatizado hubiera sido el artífice del ataque.
En Applesfera | Nuevo iOS 27 - todo lo que creemos saber sobre el futuro sistema operativo para el iPhone
En Applesfera | Nuevos iPhone 18 - Todo lo que creemos saber sobre ellos
Ver 1 comentarios