¿Te imaginas que un simple bot pudiera ayudar a los hackers a hacerse con las cuentas de Instagram más codiciadas? Pues eso es exactamente lo que ha estado sucediendo. Según han revelado varios informes, el asistente de soporte AI de Meta se ha convertido en la herramienta perfecta para aquellos malintencionados que buscan acceder a perfiles populares sin ningún tipo de verificación.
Este asistente, lanzado por Meta en diciembre con la promesa de ofrecer un soporte 24/7, fue diseñado para ayudar en todo, desde reportar estafas hasta restablecer contraseñas. Sin embargo, parece que ha sido un regalo caído del cielo para los cibercriminales, quienes encontraron una forma sencilla de aprovecharse. Lo único que necesitaban era engañar al bot para que cambiara el correo electrónico asociado a la cuenta y listo: la contraseña podía ser modificada sin más.
Un agujero negro en la seguridad
La vulnerabilidad salió a la luz durante el fin de semana pasado cuando usuarios comenzaron a compartir vídeos demostrando lo fácil que resultaba hacerse con una cuenta ajena. En uno de estos ejemplos, un hacker simplemente le pide al bot cambiar el email vinculado a una cuenta objetivo y, sorprendentemente, ¡el bot lo hace sin dudar! Meta no estaba realizando verificaciones sólidas y, en algunos casos, incluso ignoraba la autenticación en dos pasos. Solo era necesario tener una conexión VPN situada cerca del perfil objetivo; algo realmente trivial.
Cuentas robadas y sin respuesta
A muchos afectados no les quedó otra opción que ver cómo sus cuentas eran secuestradas mientras se intentaban recuperar usando este sistema fallido. Algunos ni siquiera pudieron contactar con un humano para recibir ayuda. Mientras tanto, canales en Telegram vinculados al mercado negro estaban llenos de ofertas jugosas sobre servicios relacionados con Instagram gracias a esta brecha. Hackers han sabido sobre este fallo desde marzo y ahora parece que Meta ha parcheado el problema tras varios días críticos.
Andy Stone, VP de comunicaciones en Meta, aseguró hoy mismo que ya están asegurando las cuentas afectadas. Pero ¿y todas esas personas cuyos perfiles fueron robados? Su confianza se tambalea mientras observan cómo sus identidades digitales son utilizadas por otros sin poder hacer nada al respecto.
