Meta ha reconocido un grave incidente de seguridad que afectó a 34,000 cuentas de Instagram, entre ellas la de un funcionario de la administración Trump. La vulnerabilidad fue descubierta en marzo pasado por un grupo de ciberdelincuentes que explotó una falla en una herramienta de atención al cliente basada en inteligencia artificial.
Detalles del ataque
De acuerdo con un informe de The New York Times, los atacantes utilizaron un chatbot de IA de Meta para restablecer contraseñas. Primero empleaban una VPN para simular proximidad geográfica a la víctima. Luego solicitaban al bot que agregara un nuevo correo electrónico a la cuenta objetivo, y la IA enviaba un código de verificación a esa dirección, permitiendo a los atacantes tomar el control.
De las 34,000 cuentas afectadas, 20,000 fueron vulneradas por completo, lo que significa que los ciberdelincuentes accedieron a información personal como direcciones de correo electrónico, números de teléfono y fechas de nacimiento. Entre las víctimas se encuentra un alto mando del departamento de la Fuerza Espacial de la administración Trump, cuya cuenta comenzó a publicar mensajes a favor de Irán, comparando la guerra actual con la intervención estadounidense en Vietnam.
Respuesta de Meta
Meta emitió un comunicado en el que asegura haber solucionado la vulnerabilidad. El vocero Andy Stone declaró: “En este caso, algunos de nuestros sistemas internos de seguridad fallaron, pero no fue culpa del agente de IA en sí, y ya hemos solucionado la causa subyacente”. Stone agregó que los sistemas automatizados de la empresa permitieron que un 30% más de usuarios recuperaran sus cuentas el año pasado.
Sin embargo, Meta no pudo determinar qué información fue consultada o robada por los atacantes. En una carta enviada al fiscal general de Maine, la empresa informó que realiza una “revisión exhaustiva” para identificar otros problemas de seguridad. No obstante, documentos internos citados por The New York Times indican que Meta decidió no realizar cambios importantes en sus planes de IA tras los hackeos. “Acordamos mantener todos los productos activos y pausar un experimento en curso (el chat de recuperación de contraseñas de Instagram). Todos los demás puntos de acceso seguirán estando disponibles”, señala el diario.
Implicaciones para la seguridad
Este incidente pone de manifiesto los riesgos asociados con la implementación de herramientas de inteligencia artificial en servicios de atención al cliente. Expertos en ciberseguridad advierten que las empresas deben reforzar sus sistemas de verificación y autenticación para prevenir este tipo de ataques. Meta, por su parte, asegura que continuará mejorando sus protocolos de seguridad.
