Más de 20.000 cuentas de Instagram fueron sustraídas tras la brecha de seguridad del chat de soporte con IA de Meta
MADRID, 8 Jun. –
Más de 20.000 usuarios de Instagram han sufrido el robo de sus cuentas debido a los ataques perpetrados contra el sistema de soporte potenciado por inteligencia artificial (IA) para el reseteo de contraseñas de Instagram y Facebook que se conoció la semana pasada.
La semana pasada se conoció que un fallo permitió usar el nuevo asistente de soporte de inteligencia artificial de Meta para robar cuentas de Instagram de perfil alto al pedirle al ‘chatbot’ que cambiara la dirección de correo electrónico asociada a la cuenta objetivo.
En una carta de notificación de incidentes enviada al fiscal general estadounidense Aaron Frey por la consejera general asociada y responsable legal de Respuesta a Incidentes de Meta, Amber Hannah, la compañía ha confirmado que hasta «30 usuarios de Instagram en Maine» se han visto afectados por esta vulneración.
De hecho, en la carta de notificación se puede leer que el incidente ocurrió el 17 de abril, que sería justo la fecha del primer ataque recibido utilizando esta brecha de seguridad en el nuevo programa de soporte con IA lanzado por Meta en diciembre del año pasado.
Meta ha mencionado que no tiene información sobre los datos personales a los que se ha accedido o que han sido robados, pero cita que los atacantes podían haber obtenido acceso a la información de contacto, fechas de nacimiento, publicaciones en la red social y su contenido al igual que a los mensajes directos, a la actividad de la cuenta y a las cuentas y servicios conectados.
Bleeping Computer reporta que el número total de usuarios que se vieron afectados por esta vulneración asciende a la cifra de 20.225 y son, justamente, todos los que no contaban con la autenticación de dos factores (2FA) activada en sus cuentas.
Hannah ha afirmado en la misiva que «la herramienta funcionaba correctamente, pero que debido a un bug en una ruta de código independiente, el sistema no verificaba que la dirección de correo electrónico proporcionada coincidiera con la dirección de correo asociada a la cuenta de Instagram de ese usuario».
La semana pasada se reveló que los atacantes se aprovecharon de que el sistema HTS (High Touch Support) no verificaba si las direcciones de correo electrónico estaban asociadas con las cuentas de Instagram objetivo, por lo que obtuvieron los enlaces de restablecimiento de contraseña que les permitieron secuestrar las cuentas que no tenían habilitada la autenticación de dos factores (2FA).
El vicepresidente de Comunicaciones de Meta, Andy Stone, tomó su cuenta en X (antes Twitter) para replicar a uno de los afectados, manteniendo que problema ya había sido resuelto y que estaban asegurando las cuentas impactadas.
El siguiente paso de Meta fue desactivar el servicio de soporte HTS potenciado por IA y todos los enlaces de restablecimiento de contraseña que se habían generado para evitar posibles sustracciones de cuentas como parte de la campaña llevada a cabo por los atacantes.
Meta tiene planeado volver a lanzar el servicio, aunque no sin antes corregir el sistema de autenticación para asegurar una verificación adecuada antes de pasar al restablecimiento de la contraseña.
CL11
