Meta confirmó este lunes la resolución de un incidente de seguridad ocurrido durante el pasado fin de semana, en el cual actores malintencionados explotaron una vulnerabilidad en la lógica de su asistente de Inteligencia Artificial (IA) para tomar el control de cuentas en la red social Instagram.
A diferencia de los ciberataques tradicionales, este incidente no se originó mediante malware complejo ni brechas en los servidores internos de la compañía. El problema residió en una vulnerabilidad operativa del chatbot de IA integrado a principios de este año en Facebook e Instagram.
El asistente, diseñado para facilitar la gestión de cuentas, permitió a los atacantes cambiar direcciones de correo electrónico asociadas a perfiles sin las validaciones de identidad pertinentes.
Según informes de expertos en seguridad y material difundido en redes sociales, el método no requirió contraseñas previas:
Interacción: Los atacantes iniciaron flujos de recuperación de cuenta directamente con el chatbot.
Vinculación: Solicitaron el cambio de correo electrónico a uno bajo su control.
Validación deficiente: El sistema envió el código de verificación al nuevo correo del atacante, permitiendo el restablecimiento de credenciales y el bloqueo del usuario original.
Evasión: Se utilizaron redes virtuales privadas (VPN) para simular la ubicación geográfica de los titulares legítimos y evitar las alertas automáticas de seguridad.
El ataque impactó a una escala diversa, alcanzando desde usuarios anónimos hasta perfiles institucionales y figuras de relevancia global, entre ellos:
Barack Obama: Cuenta institucional inactiva desde 2017.
Sephora: Firma global de cosméticos.
John Bentivegna: Alto funcionario de la Fuerza Espacial de EE. UU.
Jane Wong: Reconocida especialista en seguridad informática.
La corporación confirmó que la vulnerabilidad ha sido completamente solventada y que se han implementado medidas de protección para los perfiles comprometidos.
»El problema ha sido ya solventado y estamos protegiendo las cuentas afectadas», declaró Meta este lunes. La empresa enfatizó que no se produjo ninguna brecha en sus sistemas internos ni en el backend, manteniendo intacta la integridad de los servidores de Instagram.
Hasta el momento, Meta no ha revelado la cifra exacta de usuarios afectados, pero reitera su compromiso con la seguridad de la comunidad y la robustez de sus herramientas de IA.
Con información de agencias
