Meta AI la lía y ayuda a hackers a robar docenas de cuentas de Instagram
Su asistente de IA dio los pasos necesarios para dejar a los usuarios fuera de su cuenta.
Hacking en Meta
Vivimos en la era de la IA, de eso ya va quedando poca duda, y aunque algunos usos de los nuevos asistentes de Inteligencia Artificial son cuestionables, no se puede negar que son una de las mejores formas de utilizarla. Pero claro, igual que se pueden usar para el bien, se pueden usar para el mal, y ese es el caso que traemos hoy.
En un giro bastante irónico de los acontecimientos, el propio asistente de IA de Meta “ayudó” a un grupo de hackers a robar un buen puñado de cuentas de Instagram. ¿Cómo? Pues no necesitó meterse en la base de datos del Pentágono precisamente…
El método es tan simple que resulta alucinante que tal vulnerabilidad exista. Varios usuarios empezaron a informar del problema durante el pasado fin de semana, con demostraciones completas de los pasos necesarios para acceder a cualquier cuenta de Instagram.
LOS40
LOS40
En un caso, el hacker simplemente le pidió a Meta AI que cambiara la dirección de correo electrónico de la cuenta de Instagram objetivo, y el bot simplemente accedió; no necesitó ni contraseña ni verificación de dos factores, nada. Alucinante.
Aparentemente, lo único que se requiere para que el truco funcione es una conexión VPN con una ubicación cercana a la cuenta objetivo. Cumplido esto, La IA de Meta verifica las solicitudes por ubicación. Meta no sólo reconoce que esto es así, sino que también afirma lo siguiente con orgullo en su blog: “Nuestros sistemas reconocen el dispositivo que utilizas habitualmente y las ubicaciones familiares mejor que nunca”.
Mark Zuckerberg
Mark Zuckerberg
Ha habido casos en los que Meta AI solicitó una verificación mediante un selfie, que se eludió fácilmente utilizando otra IA para generar una imagen del propietario de la cuenta objetivo. Como leéis.
También robaron algunas cuentas de alto perfil, ya que según se ha informado, los hackers pudieron tomar el control de las cuentas de Sephora, el sargento mayor jefe de la Fuerza Espacial, la investigadora Jane Manchun Wong, el desarrollador Albert Renshaw y la cuenta archivada de la Casa Blanca de Barack Obama.
Estas no son víctimas triviales y muchos otros usuarios también han denunciado el robo de sus cuentas. Meta lanzó su bot asistente de IA en diciembre del año pasado, con el objetivo de facilitar las cosas a los usuarios de Instagram (y para ahorrar algo de dinero en soporte humano real).
El bot se puede utilizar de varias maneras, incluidos informes de estafas, obtener información sobre las funciones más recientes, y lo que es más importante, restablecer contraseñas. Esto último resultó ser un punto débil que los “piratas informáticos” pudieron explotar.
Lo que es aún más frustrante, y también algo irónico, es que los usuarios con cuentas robadas no pudieron usar el asistente de inteligencia artificial para recuperarlas, y claro, tampoco había opción de recurrir al apoyo humano por lo que hemos comentado un poco más arriba, la pasta. Meta necesita reforzar urgentemente los protocolos de seguridad, que no es la primera, ni la segunda vez.
