- Varios hackers han explotado una vulnerabilidad en el chatbot de soporte de Meta para cambiar correos electrónicos y sustraer perfiles de alto valor.
- Cuentas institucionales como la de la Casa Blanca de la era Obama y marcas como Sephora se han visto comprometidas por este fallo de seguridad.
- El método se basaba en el uso de VPN para engañar a la geolocalización de la IA y saltarse los procesos de verificación de identidad habituales.
- Meta ha confirmado que el error ya está parcheado, aunque el incidente subraya los riesgos de automatizar procesos críticos de soporte.
Menudo lío se ha montado con la seguridad en las redes sociales de Mark Zuckerberg. Resulta que Meta se ha cubierto de gloria con su flamante asistente de inteligencia artificial, ya que una vulnerabilidad en su sistema de soporte ha permitido a diversos atacantes hacerse con el control de cuentas de Instagram de forma alarmantemente sencilla. Lo que en principio se diseñó para echar una mano a los usuarios que perdían el acceso a sus perfiles, ha terminado siendo la herramienta perfecta para los ciberdelincuentes.
Esta situación ha puesto en jaque la confianza en la automatización de servicios críticos. Al final, lo que debía ser una ayuda se ha convertido en un coladero para perfiles de alto valor, demostrando que dejar tareas tan sensibles como la recuperación de contraseñas en manos de un bot, sin una supervisión humana robusta, puede salir muy caro. En España y el resto de Europa, donde la privacidad es un tema sagrado, este incidente ha levantado ampollas entre los expertos en ciberseguridad.
¿Cómo lograban los atacantes engañar al sistema de Meta?
El truco era bastante más simple de lo que uno podría imaginar para una empresa de este calibre. Los atacantes ni cortos ni perezosos utilizaban una VPN para engañar a la geolocalización del chatbot de soporte. Al simular que estaban en la misma región que el dueño legítimo de la cuenta, la IA bajaba la guardia y aceptaba peticiones que, en condiciones normales, deberían haber levantado todas las sospechas del mundo.
Una vez que el bot creía que estaba hablando con el titular real, el hacker solo tenía que pedirle que asociara una nueva dirección de correo electrónico al perfil. Sin pedir autenticación de doble factor ni realizar comprobaciones de identidad adicionales, el sistema enviaba un código de ocho dígitos a la cuenta del atacante. Con esa clave en la mano, cambiar la contraseña y quedarse con el perfil era coser y cantar.
Víctimas de renombre y el lucrativo mercado negro
El alcance del ataque no ha sido moco de pavo. Entre los afectados se encuentran perfiles institucionales de peso, como la cuenta de la Casa Blanca de la era Obama, que aunque estaba inactiva, seguía teniendo un valor histórico y una base de seguidores enorme. También se vieron comprometidas cuentas de la Fuerza Espacial de Estados Unidos y de marcas tan potentes como Sephora, lo que deja claro que nadie estaba a salvo de este exploit.
Detrás de estos ataques hay un interés económico evidente. En canales de Telegram especializados, se comercializan nombres de usuario «OG» (originales o muy cortos) que alcanzan precios desorbitados en el mercado negro digital. Al conseguir el control total del perfil a través del correo, los delincuentes pueden revender estas cuentas o utilizarlas para estafas en TikTok e Instagram mucho más creíbles al contar con el check azul de verificación.
Informes de expertos y la duración del agujero de seguridad
Aunque el escándalo ha saltado con fuerza recientemente, parece que el problema venía de lejos. Diversas investigaciones de 404 Media y TechCrunch apuntan a que este método de intrusión ya se conocía en los bajos fondos de internet desde hacía meses. Es más, algunos investigadores de seguridad afirman que se detectaron movimientos sospechosos relacionados con esta técnica de ingeniería social conversacional desde principios de año.
Varios reportes en canales de hacking desde el pasado mes de marzo ya avisaban de que el bot de soporte de Meta era demasiado permisivo. Resulta irónico que una herramienta pensada para mejorar la seguridad y la recuperación de perfiles haya sido precisamente la llave que ha abierto la puerta a los intrusos, dejando a los usuarios legítimos en una situación de total indefensión al no poder contactar con un humano para reclamar.
La reacción oficial y el impacto de los despidos en Meta
Ante el revuelo causado, la directiva de la compañía ha tenido que salir al paso. El actual vicepresidente de comunicaciones, Andy Stone, ha confirmado que el parche para solucionar esta vulnerabilidad ya ha sido implementado y que están trabajando para devolver el control a las cuentas afectadas. No obstante, el daño reputacional ya está hecho y muchos se preguntan cómo pudo pasar esto por alto durante tanto tiempo.
Algunas voces críticas dentro del sector tecnológico sugieren que los recortes de personal en Meta, que afectaron a miles de empleados recientemente, podrían haber hecho mella en la calidad de las pruebas de seguridad. Con menos ojos humanos supervisando los procesos de la IA, es mucho más probable que errores de bulto como este acaben llegando a la versión final que utilizamos todos los usuarios en nuestros teléfonos.
Cómo blindar tu perfil para evitar sustos innecesarios
Para que no nos den gato por liebre, lo mejor es tomar cartas en el asunto por nuestra cuenta. Una de las medidas más eficaces en suelo europeo sigue siendo activar la autenticación en dos pasos (2FA) mediante aplicaciones externas como Google Authenticator o Authy. Dejarlo todo en manos de un SMS o del correo electrónico no es suficiente si el atacante logra convencer a la IA de que cambie esos datos de contacto por la cara.
También es vital entrar en la configuración de Instagram y guardar a buen recaudo los códigos de recuperación únicos que ofrece la plataforma. Si alguna vez te roban la cuenta y la IA no te reconoce, estos códigos son tu última bala para recuperar el acceso sin pasar por el aro del soporte automático. Además, conviene revisar la seguridad de contraseñas y la lista de dispositivos conectados para echar a cualquiera que nos resulte sospechoso.
A modo de cierre, este episodio nos deja una lección bastante clara sobre los peligros de confiar ciegamente en la inteligencia artificial para tareas críticas. Aunque Meta ya ha puesto solución al problema, el hecho de que la automatización sin control haya permitido el robo de perfiles de tal importancia demuestra que la tecnología todavía necesita un fuerte respaldo humano. Mantener nuestras contraseñas seguras y desconfiar de procesos demasiado simples es fundamental para no acabar formando parte de la lista de víctimas de estos piratas digitales.
Editor profesional de Tecnología y Software