Hackeo de Instagram vía chatbot de Meta AI

Campaña de hacking de Instagram aprovechó el chatbot de Meta AI

Una amplia ola de secuestros de cuentas de Instagram que se basó en pedir al chatbot de Meta AI que transfiriera el control de cuentas parece haber continuado incluso después de que Meta afirmó haber resuelto el problema. La compañía ha estado tomando medidas para asegurar las cuentas afectadas y alertar a las víctimas.

Qué ocurrió

Durante el fin de semana, hackers afirmaron utilizar el chatbot de soporte de IA de Meta para tomar el control de varias cuentas de Instagram de alto perfil. Al mismo tiempo, muchas personas reportaron en redes sociales que sus cuentas habían sido comprometidas, incluyendo perfiles con identificadores cortos y únicos.

Los atacantes dijeron al chatbot que eran los propietarios de la cuenta y pidieron vincularla a un correo bajo su control. El chatbot aceptó y permitió el restablecimiento de la contraseña.

Objetivo: identificadores "OG" y cuentas de alto valor

TechCrunch documentó ejemplos de identificadores comprometidos con nombres comunes o de países, que pueden revendérseles en mercados grises como "OG handles". Entre las víctimas potenciales estuvieron cuentas inactivas de alto perfil, aunque Meta negó algunos casos específicos.

Método: tan simple como peligroso

Estos ataques no requerían ingeniería social compleja ni acceso interno: los hackers simplemente afirmaron al chatbot que eran los dueños de la cuenta objetivo y le pidieron vincularla a un correo que controlaban. Con esa acción pudieron restablecer la contraseña y bloquear a las víctimas.

• No hubo participación de empleados o contratistas de Meta en los chats según los reportes.
• Los atacantes compartieron capturas y técnicas en canales de Telegram.
• Es difícil verificar si todas las cuentas comprometidas usaron exactamente la misma técnica.

Respuesta de Meta

El portavoz de Meta, Andy Stone, declaró que "el problema que ocurrió ya se solucionó". Aun así, usuarios siguieron reportando hackeos días después. Meta aseguró que había protegido las cuentas afectadas y comenzó a enviar correos de restablecimiento de contraseña a las víctimas, sin especificar la cifra total de afectados.

Stone explicó que algunos usuarios recibieron notificaciones de restablecimiento de contraseña o preguntas de seguridad al intentar iniciar sesión.

Implicaciones y contexto

En marzo, Meta anunció que desplegaba IA para automatizar soporte al usuario, con chatbots diseñados para resolver problemas de cuentas de principio a fin y "restablecer su contraseña de forma segura". Esa capacidad para actuar sin intervención humana es precisamente lo que permitió a los atacantes explotar el sistema.

Durante años ha existido un mercado activo para nombres de usuario "OG", y anteriormente capturar esas cuentas requería phishing, control de números telefónicos o sobornos a operadores. En este caso, los hackers obtuvieron resultados similares con una interacción directa con el chatbot.

Qué deben hacer los usuarios

1. Si recibes un correo de Instagram sobre actividad sospechosa, sigue las instrucciones oficiales y restablece tu contraseña desde la app o sitio web oficial.
2. Activa la verificación en dos pasos y revisa dispositivos y sesiones activas en la configuración de la cuenta.
3. Usa contraseñas fuertes y gestoras de contraseñas; evita reutilizar credenciales.
4. Reporta incidentes a Instagram y, si corresponde, busca asistencia segura a través de canales verificados.

Contacto del reportero

Lorenzo Franceschi-Bicchierai, redactor senior de TechCrunch especializado en hacking, ciberseguridad y privacidad, ofreció vías seguras de contacto: Signal +1 917 257 1382, Telegram/Keybase @lorenzofb, o por correo electrónico a [email protected].

Nota: Algunas secciones citadas provienen de ejemplos y correos compartidos con TechCrunch.