Un error desastroso ha sido cometido por la IA de Meta, en concreto, con su chatbot de soporte en Instagram que permitió un robo de cuentas que asciende a más de 20.000. El problema se dio a conocer justo cuando se descubrió el hackeo de varios perfiles de famosos y marcas. Se ha podido saber más detalles gracias a la documentación que las autoridades de Estados Unidos exigen ante un caso de seguridad que afecte los datos de sus ciudadanos.
Meta presentó el trámite ante la Oficina del Fiscal General de Maine. Fue una estrategia bien llevada a cabo, comenzando con conexiones VPN que permitieron simular la ubicación de los propietarios, por lo que no hubo una barrera de protección inicial. Al final, lograron hacer varios cambios relevantes para apropiarse de las cuentas. Este procedimiento fue revelado por Bleeping Computer que tuvo evidencia del robo de una cuenta.
Instagram y su IA, víctimas de un hackeo estratégico que dejaron a miles de usuarios sin sus cuentas
Después de poder establecer contacto mediante una VPN, lograron evadir la clásica barrera de Instagram respecto a la seguridad. El siguiente paso era entablar la conversación con el chatbot de soporte de IA de Meta. Se solicitaba cambiar la dirección de correo electrónico de recuperación que está vinculada a dichas cuentas. Sin ningún problema, el chatbot realizaba las medidas de verificación y proporcionaba el código de verificación en el nuevo correo establecido por el hacker. Un paso indispensable parece que fue saltado y es la verificación en dos pasos; el dueño de la cuenta quedaba fuera completamente del procedimiento y, al parecer, las cuentas vulnerables no contaban con esta autenticación de seguridad.
Esto no ocurrió de la noche a la mañana; las operaciones comenzaron el 17 de abril, por lo que ya llevan varios meses llevando a cabo estas actividades. La situación parece estar de nuevo bajo control, según el VP de comunicaciones de Meta, Andy Stone. Se pronunció al respecto indicando que los incidentes habían sido resueltos asegurando las cuentas afectadas.
Meta no tuvo otra opción que desactivar sus propios sistemas de soporte respecto a los chatbots y anuló cualquier enlace de restablecimiento de cuenta que fue generado por la IA. Se protegieron las cuentas y, para que los usuarios pudieran retomar el control, fueron obligados a verificar su identidad y cambiar las contraseñas, como si se tratara de una tarjeta bancaria nueva. El chatbot con IA en soporte no volverá pronto, sino hasta que pueda corregir la vulnerabilidad con la que fue condicionado. No es posible que se pueda colocar cualquier correo electrónico para restablecer una contraseña. Para una siguiente ocasión, se garantizará que el correo electrónico coincida con el dueño de la cuenta.
Tras el suceso, harán una revisión a conciencia de los procesos de recuperación de cuenta en todas sus plataformas, incluyendo WhatsApp y Threads. La idea es que se pueda identificar y dar solución a cualquier futuro problema como el que aconteció con Instagram. Prácticamente, la IA de Meta no está lista para afrontar verdaderos problemas de seguridad. Necesita ser revisada también y evitar que pueda dar un acceso no autorizado a cualquier persona.