La IA de soporte de Meta entregó cuentas de Instagram pese al doble factor

Meta creó un asistente de soporte con inteligencia artificial para encargarse del trabajo tedioso de recuperar cuentas, y durante un fin de semana los usuarios descubrieron que podían convencerlo de ceder cuentas ajenas. Bastaba con pedirle al chatbot que añadiera una nueva dirección de correo a una cuenta de Instagram y solicitar después un cambio de contraseña para que los atacantes se hicieran con perfiles que no les correspondían, incluidos algunos protegidos con verificación en dos pasos. La herramienta pensada para devolver el acceso a una cuenta bloqueada se convirtió en la vía más rápida para dejar fuera a su dueño legítimo.

El método resultaba casi insultantemente simple. El atacante usaba primero una VPN para que su conexión pareciera proceder de la zona de la víctima, porque el flujo de soporte de Meta se apoyaba en la ubicación como señal de confianza. Después abría un chat con el asistente y le pedía que vinculara a la cuenta objetivo una dirección de correo bajo su control. El bot enviaba un código de verificación a ese nuevo correo, el atacante lo pegaba de vuelta en la conversación y el asistente respondía mostrando un botón para restablecer la contraseña. Una contraseña nueva más tarde, la cuenta cambiaba de manos.

Lo que distingue este caso de un robo de cuenta corriente es que en realidad no se forzó nada. No hubo programas maliciosos, ni una base de datos de credenciales filtrada, ni una página falsa disfrazada de pantalla de inicio de sesión. Fue la propia herramienta de soporte de la plataforma la que hizo el trabajo, siguiendo sus instrucciones al pie de la letra. El atacante no venció la seguridad de Instagram, sino que le pidió con educación que se apartara, y lo hizo.

Esa secuencia es lo que vuelve relevante el incidente para cualquiera que tenga una cuenta en Instagram. La verificación en dos pasos, la protección que los expertos llevan una década recomendando activar, no sirvió de nada aquí. El atacante nunca necesitó la contraseña de la víctima, ni su teléfono, ni un código de una aplicación de autenticación, porque el propio agente de IA podía restablecer la contraseña. Cuando un sistema de soporte puede anular todos los demás cerrojos de la puerta, los cerrojos dejan de contar.

Las cuentas que más atención atrajeron eran de alto perfil. Entre ellas estaba el perfil de Instagram ligado a la Casa Blanca de la era Obama, inactivo desde 2017, y la cuenta de John Bentivegna, sargento mayor jefe de la Fuerza Espacial de Estados Unidos. La investigadora de seguridad Jane Wong, conocida por desentrañar el código de las aplicaciones, vio cómo perdía su propia cuenta. La contraseña cambió sin que ella lo supiera, contó, y recibió intentos de restablecimiento durante todo un día mientras la app la expulsaba una y otra vez. Usuarios corrientes describieron lo mismo, aunque Meta no ha dicho cuántos se vieron afectados.

El episodio es menos un error en una línea de código que una pregunta sobre lo que se permite hacer a estos agentes. Meta amplió a comienzos de año su soporte impulsado por IA y dejó que el asistente gestionara cambios de contraseña y problemas de cuenta que antes exigían a una persona o un formulario rígido. Dar a un modelo conversacional autoridad sobre la recuperación de cuentas eliminó la fricción para los usuarios legítimos y, según se vio, también para todos los demás. Un agente humano quizá habría dudado ante un desconocido que pedía cambiar el correo de una cuenta. El bot se limitó a seguir el guion que le dieron.

Meta asegura que el agujero está cerrado, pero hay varios motivos para moderar el alivio. La compañía no ha revelado cuántas cuentas fueron tomadas antes del parche, lo que deja a las víctimas sin una idea clara del daño. Según 404 Media, la técnica circulaba en Telegram desde marzo, de modo que la puerta pudo estar abierta durante semanas antes de salir a la luz. Y el diseño de fondo, confiar en una señal de ubicación que una VPN puede falsear y en un circuito de correo bajo control del atacante, apunta a un modelo de verificación frágil desde el principio.

Los investigadores de seguridad llevan tiempo advirtiendo de que los agentes de IA conectados a sistemas reales abren una nueva superficie de ataque, una en la que el exploit no es código malformado sino una petición convincente. Este es uno de los primeros casos a gran escala que lo demuestra con cuentas de consumo cotidianas y no con una demostración de laboratorio. La manipulación no exigió ninguna destreza técnica. Exigió saber qué decir, frente a un sistema construido para ser servicial antes que cauteloso.

Por ahora el consejo práctico es poco vistoso. Quien haya notado correos inesperados de cambio de contraseña o cierres de sesión repentinos durante el fin de semana debería revisar qué direcciones de correo y números de teléfono están asociados a su cuenta y eliminar todo lo que no reconozca. La verificación en dos pasos sigue mereciendo la pena por los muchos ataques que sí detiene, aunque en este no haya servido de nada.

El portavoz de Instagram, Andy Stone, confirmó el lunes que el problema estaba resuelto y que la compañía estaba protegiendo las cuentas afectadas. Lo que Meta no ha abordado es la pregunta de diseño más amplia que su propio despliegue planteó esta primavera: cuánta autoridad debería tener un agente automatizado sobre las cuentas de miles de millones de personas, y qué impide que la próxima conversación termine igual.

Etiquetas: ciberseguridad, instagram, meta