El chatbot de IA de Meta ayudó a hackers a comprometer cuentas de Instagram, incluyendo la de la Casa Blanca

El chatbot de IA de Meta ayudó a los hackers a tomar control de cuentas de Instagram, incluyendo la Casa Blanca

El chatbot de soporte de IA de Meta fue utilizado exitosamente por hackers para comprometer cuentas de Instagram a través de ingeniería social simple. La vulnerabilidad permitía que cualquiera obtuviera acceso al perfil de otra persona, simplemente pidiendo al chatbot que cambiara la dirección de correo electrónico adjunta y restableciera la contraseña.

Cómo funcionaba la explotación

Los hackers publicaron videos en Telegram demostrando el proceso de piratería paso a paso. El ataque comenzaba contactando con el chatbot de soporte de IA de Meta. El hacker pedía ayuda supuestamente para recuperar el acceso a la cuenta, sin proporcionar verificación suficiente.

El sistema de IA, desprotegido contra la ingeniería social, cumplía con todas las solicitudes. El chatbot cambiaba la dirección de correo electrónico vinculada al perfil objetivo por la dirección del hacker. Después, solo quedaba restablecer la contraseña a través del método estándar de recuperación — enviar un código de confirmación al nuevo correo electrónico.

De esta forma, el control total de la cuenta pasaba a manos del atacante. El proceso era tan simple que cualquiera podía repetirlo. Los hackers ni siquiera intentaron ocultar la metodología, compartiendo evidencia en video en acceso público.

Cuentas de alto perfil comprometidas

La vulnerabilidad afectó no solo a usuarios comunes, sino también a perfiles estatales protegidos:

• Cuenta oficial de la Casa Blanca @obamawhitehouse con 10+ millones de seguidores
• Cuenta del Chief Master Sergeant de la Fuerza Aérea de EE.UU.
• Otros perfiles corporativos y gubernamentales de alto perfil

Después de tomar el control de la cuenta de la Casa Blanca, los atacantes comenzaron a publicar contenido con propaganda iraní. El incidente atrajo rápidamente la atención de los medios de comunicación mundiales, demostrando el nivel de vulnerabilidad incluso de los perfiles más protegidos.

Posición de Meta y corrección

Meta reconoció rápidamente el problema y afirmó que la vulnerabilidad ya había sido corregida. La empresa confirmó que la explotación era efectivamente posible a través de la función de soporte y que se habían implementado protecciones adicionales.

"Ya hemos corregido esta vulnerabilidad," afirmó

Meta en un comentario oficial.

Sin embargo, la empresa fue escasa en detalles. Sigue siendo poco claro si la verificación del propietario de la cuenta en el chatbot fue mejorada, o si la lógica del propio sistema de IA fue cambiada. Meta tampoco reveló el cronograma para descubrir el problema.

Qué significa esto

El incidente demuestra una vulnerabilidad crítica en la confianza de los usuarios en los sistemas de IA. Cuando incluso una cuenta protegida del gobierno estadounidense puede ser comprometida a través de algunas preguntas a un chatbot — esto es una señal de que el soporte de IA necesita una revisión fundamental de los enfoques de verificación. Para usuarios comunes, la lección es clara: es necesario proteger no solo las contraseñas, sino también las direcciones de correo electrónico vinculadas. La comunicación con chatbots de IA con datos personales requiere máxima precaución.

*Meta es reconocida como una organización extremista y está prohibida en la Federación Rusa.