Una vulnerabilidad en el soporte de Instagram permitía tomar cuentas usando su propia IA

Fuentes: elmundo.es, bbc.comT1state_media, The Newest Instagram 'Exploit' is the Goofiest I've Seen, techcrunch.com, krebsonsecurity.com, theverge.com, arstechnica.com, bbc.comT1state_media, theguardian.com
Imagen generada por IA con el prompt: Smartphone screen showing the Instagram logo with a cracked padlock overlay, digital glitch effects, dark blue and purple cyberpunk aesthetic, no text, no real faces
Imagen generada con IA

Una vulnerabilidad crítica en el sistema de recuperación de cuentas de Instagram permitió a atacantes tomar el control de perfiles de alto valor, incluyendo el de la Casa Blanca durante la era Obama y el del sargento mayor jefe de la Fuerza Espacial de EE.UU., utilizando la propia inteligencia artificial de Meta. El método, que estuvo activo durante semanas o incluso meses antes de ser corregido, se basaba en engañar al chatbot de soporte de Instagram para que restableciera la contraseña de una cuenta, sin necesidad de verificación humana.

El ataque, descrito por investigadores como “demasiado simple para ser verdad” (0xsid.com), requería un conocimiento mínimo: el nombre de usuario de la víctima. Los atacantes simulaban su ubicación utilizando una VPN, lo que evitaba las alarmas automáticas de Meta. El proceso culminaba con la presentación de un vídeo generado por IA, que imitaba una selfie de la víctima, y que la IA de Instagram aceptaba sin cuestionar. Como señala TechCrunch, incluso la verificación en dos pasos (2FA) era ineficaz, ya que el proceso de recuperación de cuenta se trataba como un reinicio completo, ignorando las medidas de seguridad existentes y cambiando la contraseña sin notificar al propietario legítimo.

Según los investigadores, el mercado negro de cuentas de Instagram se vio activado, con ofertas de “toma de control de cuentas” a precios elevados. Cuentas con nombres cortos y únicos, especialmente valiosas en este mercado, fueron el objetivo principal. El método de ataque era tan sencillo que incluso usuarios con conocimientos técnicos limitados podían llevarlo a cabo, como evidencian los informes de usuarios en Reddit y X (anteriormente Twitter) que denunciaron la toma de control de sus cuentas. Jane Wong, investigadora de seguridad, confirmó que su propia cuenta fue comprometida, describiendo la situación como “preocupante” (X). La vulnerabilidad también afectó a cuentas con A/B testing activo, impidiendo a los usuarios desactivar la opción de soporte de IA.

Meta ha confirmado que ha solucionado la vulnerabilidad, aunque el incidente ha generado preocupación sobre la seguridad de la plataforma y la dependencia excesiva en la inteligencia artificial para la gestión de la seguridad. El hecho de que una empresa de la magnitud de Meta ($1.5 billones de dólares en valor de mercado) carezca de “barreras de seguridad robustas” y permita que su IA cambie la información de contacto de una cuenta simplemente solicitándolo, es motivo de alarma (0xsid.com). El incidente subraya la necesidad de una supervisión humana más rigurosa en los procesos de recuperación de cuentas y una revisión exhaustiva de los sistemas de seguridad basados en IA, para evitar futuros ataques de este tipo. Aunque la amenaza inmediata ha sido mitigada, la vulnerabilidad expone una debilidad fundamental en la infraestructura de seguridad de Instagram y plantea interrogantes sobre la fiabilidad de los sistemas automatizados para proteger las cuentas de los usuarios. Se espera que Meta implemente medidas adicionales para fortalecer la seguridad de la plataforma y evitar que se repitan incidentes similares.