🛡 VULNERABILIDADES 🛡

Hackers aprovecharon el bot de soporte de IA de Meta para apoderarse de cuentas de Instagram.

🛡CyberObservatorio
Hackers aprovecharon el bot de soporte de IA de Meta para apoderarse de cuentas de Instagram.
Idioma

Hackers aprovecharon el bot de soporte de IA de Meta para apoderarse de cuentas de Instagram.

Fuente: Krebs on Security

**Introducción contextual**

El reciente ataque a las cuentas de Instagram de la Casa Blanca de Obama y del Jefe Maestro de Sargento de la Fuerza Espacial de EE. UU. ha puesto de relieve las vulnerabilidades inherentes a los sistemas de soporte automatizado en las plataformas digitales. Este incidente no solo afecta a las personalidades y entidades involucradas, sino que también plantea preocupaciones sobre la seguridad de las cuentas en línea de millones de usuarios. La creciente dependencia de la inteligencia artificial en el soporte al cliente invita a preguntarse si estas tecnologías están preparadas para manejar situaciones críticas de seguridad sin comprometer la protección de los datos de los usuarios.

**Detalles técnicos**

El ataque se llevó a cabo a través de una técnica sencilla que los hackers proiraníes difundieron en varios canales de Telegram, donde se explicaba cómo engañar al asistente de soporte automatizado de Meta para restablecer contraseñas de cuentas. En esencia, el atacante utilizó una conexión VPN que simulaba una dirección IP cercana a la localidad habitual del objetivo. Tras realizar una solicitud de restablecimiento de contraseña, optó por interactuar con el asistente AI de Meta. Durante esta interacción, el atacante instruyó al bot para que vinculase la cuenta comprometida a un nuevo correo electrónico. A continuación, el asistente envió un código de un solo uso a esa dirección, permitiendo al atacante restablecer la contraseña y tomar control de la cuenta.

Este tipo de vulnerabilidad se clasifica como un abuso del flujo de trabajo estándar del restablecimiento de contraseñas, que, aunque diseñado para facilitar la recuperación de cuentas legítimas, puede ser explotado si no se implementan salvaguardias adecuadas. Es crucial señalar que Meta no ha confirmado que se haya producido una violación de sus bases de datos, pero se ha informado que se implementó un parche de emergencia para mitigar el problema.

**Datos fácticos**

El ataque fue documentado en un video que circuló en Telegram, donde los hackers mostraban cómo habían utilizado esta técnica para hacerse con varios nombres de cuenta cortos en Instagram, que supuestamente tienen un valor de reventa superior a medio millón de dólares. En Twitter, Andy Stone, representante de Meta, indicó que la situación había sido resuelta y que se estaban asegurando las cuentas afectadas. La plataforma de ciberseguridad thecybersecguru.com destacó que la infraestructura de soporte humano de Instagram es notoriamente deficiente, lo que agrava el tiempo requerido para recuperar cuentas bloqueadas, especialmente aquellas de alto valor.

**Impacto y consecuencias**

Este incidente subraya la vulnerabilidad que enfrentan no solo las figuras públicas, sino cualquier usuario que dependa de plataformas como Instagram. A medida que más compañías adoptan chatbots de inteligencia artificial para manejar solicitudes sensibles de recuperación de cuentas, se hace evidente que la superficie de ataque se amplía. La facilidad con que los atacantes pueden manipular sistemas automatizados plantea serias preocupaciones sobre la seguridad de los datos personales. Las consecuencias de tales brechas pueden incluir no solo la pérdida de acceso a cuentas, sino también la explotación de información personal y la posible suplantación de identidad.

**Contexto histórico**

Este ataque se inscribe dentro de una tendencia más amplia en la que los sistemas de soporte automatizados están siendo cada vez más utilizados para manejar problemas de cuentas. Sin embargo, este incidente destaca la falta de preparación de estas tecnologías para enfrentar ataques sofisticados. En el pasado, se han documentado otros incidentes en los que se han explotado vulnerabilidades en sistemas de soporte, pero la introducción de chatbots de inteligencia artificial añade un nuevo nivel de complejidad y riesgo.

**Recomendaciones**

Para protegerse contra este tipo de ataques, es fundamental que los usuarios implementen el método de autenticación multifactor (MFA) más seguro disponible en sus cuentas en línea. En el caso de Instagram, incluso el uso de la forma menos robusta de MFA, como un código de un solo uso enviado por SMS, podría haber bloqueado el ataque, dado que los hackers indicaron que su método no funcionó contra cuentas que tenían MFA activada. La educación sobre la importancia de la seguridad en línea y la implementación de medidas proactivas son esenciales para reducir el riesgo de ser víctima de ciberataques.

Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts

Source: Krebs on Security

TheInstagramaccounts for the Obama White House and the Chief Master Sergeant of the U.S. Space Force were briefly defaced with pro-Iranian images and messages over the weekend, after instructions began circulating on Telegram showing how to trick Meta’s “AI support assistant” bot into resetting account passwords. A screenshot from a video released on Telegram claiming to show how Meta’s AI customer support bot could be tricked into resetting a target’s password. On May 31, word began to spread on several Telegram instant message channels that Meta’s AI bot would happily add an email address to an existing account as part of the bot’s standard password reset flow. A video released on Telegram by pro-Iran hackers claimed to document a remarkably simple exploit that appears to have involved using a VPN connection with an IP address that is in or near the target’s usual hometown, requesting a password reset for the account, and then choosing to chat with Meta’s AI support assistant. From there, the video shows the attacker told the bot to link the account in question to a new email address, after which the bot dutifully sent that address a one-time code that allowed a password reset. The Telegram account that posted the video also linked to screenshots of pro-Iran images, videos and messages that defaced the hacked Instagram accounts, saying hackers had used the exploit to hijack a number of valuable (read: short) Instagram account names that allegedly have a resale value of more than a half million dollars. Meta has not responded to requests for comment on the video’s claims, but Meta’s Andy Stonesaidon Twitter/X that the issue had been resolved and that they were securing impacted accounts. The security blog thecybersecguru.comreportsthat Meta pushed an emergency patch over the weekend, and clarified that no back end database was breached. “Instagram has notoriously poor human support infrastructure,” Cybersecguru wrote. “Recovering a locked account – especially a high-value one can take weeks of back-and-forth with an automated ticketing system. Meta’s solution was to deploy a conversational AI layer to handle common recovery workflows: relinking a lost email address, triggering a password reset, verifying account ownership. The assistant, presumably, was supposed to reduce friction for legitimate users stuck in account-access hell.” Ian Goldin, a threat researcher at Lumen’sBlack Lotus Labs, said we’re entering unchartered security territory as more large online platforms start allowing AI chatbots to handle sensitive account recovery requests. Just like human customer support employees can be social engineered into providing unauthorized access to someone’s account, AI bots are equally eager to help and vulnerable to persuasion and trickery, he said. “AI chatbots create interesting new attack surface, and we’re likely going to see a lot more of these kinds of attacks,” Goldin said. Securing your various online accounts means taking full advantage of the most secure form of multi-factor authentication (MFA) offered (such as a passkey or security key). In this case, even using the least robust form of MFA that Instagram offers — a one-time code sent via SMS — likely would have blocked the exploit: The hackers who released the video on Telegram said their exploit failed to work against any accounts that had MFA enabled.

Hackers aprovecharon el bot de soporte de IA de Meta para apoderarse de cuentas de Instagram. | Ciberseguridad - NarcoObservatorio