La seguridad de los usuarios de Meta se ha visto comprometida recientemente debido a una vulnerabilidad crítica en su nuevo asistente de soporte basado en inteligencia artificial. El fallo permitió que piratas informáticos tomaran el control de numerosas cuentas de Instagram de alto perfil al engañar al chatbot de la plataforma. El mecanismo de ataque era alarmantemente sencillo: los delincuentes solicitaban al asistente de IA que cambiara la dirección de correo electrónico asociada a la cuenta que deseaban atacar. El sistema, diseñado para agilizar la recuperación de perfiles bloqueados, procedía a realizar el cambio sin aplicar los filtros de seguridad convencionales que la empresa suele exigir en sus procesos manuales.

Las vulnerabilidades detectadas por expertos en seguridad

Este sistema de asistencia automatizada fue lanzado en fase de prueba en diciembre pasado y se desplegó oficialmente en marzo para usuarios de Estados Unidos y Canadá. Sin embargo, investigadores de seguridad independientes detectaron rápidamente que la herramienta no verificaba adecuadamente la identidad del solicitante ni exigía la autenticación de dos factores (MFA), incluso cuando los usuarios legítimos la tenían activada. Esta negligencia técnica permitió que cuentas con nombres de usuario raros o valiosos, conocidos como handles exclusivos, fueran sustraídas y vendidas en mercados negros por sumas que alcanzan los miles de dólares. Los atacantes aprovecharon el fin de semana para ejecutar estos robos de forma masiva, dejando a cientos de personas sin acceso a sus perfiles históricos.

Varios expertos compartieron en la red social X testimonios sobre la facilidad con la que se podía vulnerar el sistema. Algunos usuarios informaron haber perdido el control de cuentas que poseían desde el año 2010. El impacto de este incidente ha puesto bajo la lupa la estrategia de Meta de automatizar procesos de soporte técnico críticos mediante inteligencia artificial generativa sin las salvaguardas humanas necesarias. Entre los riesgos y consecuencias observados durante este periodo de crisis se encuentran:

• Pérdida total de acceso para propietarios de cuentas con millones de seguidores.
• Saltado completo de las medidas de seguridad tradicionales como el reconocimiento facial o el SMS.
• Imposibilidad de recuperar las cuentas de manera rápida a través de los canales de denuncia estándar.
• Exposición de información privada y comercial de perfiles de empresas y figuras públicas.

Aunque Meta ha informado que ya ha implementado una corrección para cerrar esta brecha de seguridad, el daño causado a la reputación de sus sistemas automatizados es significativo. La empresa enfrenta ahora el desafío de restaurar manualmente las cuentas afectadas y de demostrar que sus herramientas de inteligencia artificial son capaces de discernir entre un usuario legítimo en problemas y un atacante malintencionado. Este suceso subraya la importancia de mantener la supervisión humana en las capas de seguridad digital, especialmente cuando se trata de gestionar la identidad y los datos personales de millones de individuos a nivel global.