Meta corrige una vulnerabilidad que permitía al bot de asistencia de MetaAI enviar enlaces para restablecer contraseñas sin autenticación de dos factores

Noticias
Por Aportaciones de publicado

Los hackers tenían como objetivo cuentas de alto perfil

Mark Zuckerberg's personal Facebook account is displayed on a mobile phone with the Meta logo visible on a tablet screen in this photo illustration in Brussels, Belgium, on January 7, 2025.
(Crédito de imagen: Getty Images / NurPhoto)
  • Los ciberdelincuentes engañaron al agente de atención al cliente basado en IA de Meta para que les reenviara códigos de restablecimiento de contraseña
  • Cuentas con nombres cortos robadas, con un valor total de más de un millón de dólares, se pusieron a la venta en Telegram
  • El ataque pone de relieve el riesgo de delegar tareas delicadas a sistemas de IA

Los ciberdelincuentes llevaron a cabo con éxito un ataque de ingeniería social contra el servicio de atención al cliente de Meta, engañando al representante para que iniciara un proceso de restablecimiento de contraseña sin solicitar ninguna verificación de identidad.

Lo más llamativo es que el representante era en realidad un agente de IA, y no un ser humano. Los investigadores que dieron a conocer el ataque destacaron lo peligroso que resulta confiar tareas delicadas a la IA. Meta solucionó el problema poco después.

Según los prestigiosos investigadores ZachXBT y Dark Web Informer, los ciberdelincuentes entablaron una conversación con el chatbot de IA de Meta y lograron que este les enviara los códigos de restablecimiento de contraseña de las cuentas de otras personas. Las cuentas objetivo son cuentas premium con nombres cortos, que suelen tener millones de seguidores y, por lo tanto, pueden venderse por mucho dinero en el mercado negro.

Latest Videos From

Venta de cuentas robadas

De hecho, los investigadores mencionaron dos cuentas específicas —@hey y @jowo—, que supuestamente se vendían en canales de Telegram por «más de un millón en total», según informa Cybersecurity News.

Los investigadores estaban siguiendo la actividad de venta, rastreando la lista de cuentas robadas que circulaba entre diferentes colectivos de hackers en Telegram.

Meta solucionó el problema el viernes por la noche: «Solucionamos un problema que permitía a terceros solicitar correos electrónicos de restablecimiento de contraseña para algunos usuarios de Instagram. No hubo ninguna violación de nuestros sistemas y las cuentas de Instagram de los usuarios siguen estando seguras», dijo la empresa en un comunicado posterior.

Se advierte constantemente a los usuarios sobre los ataques de ingeniería social y phishing, y se les aconseja sobre cómo mantener sus cuentas seguras. En este caso, sin embargo, no había nada que pudieran haber hecho, ya que el ataque se dirigió a la propia plataforma, no a sus usuarios.

Aun así, contar con autenticación multifactorial (MFA) es probablemente la mejor manera de protegerse contra el phishing y la ingeniería social, pero es importante que los códigos de un solo uso no se envíen por SMS. Además, registrar una cuenta con una dirección de correo electrónico privada y desconocida también es una estrategia sólida.

Google logo on a black background next to text reading 'Click to follow TechRadar'

Sigue a TechRadar en Google Noticias y añádenos como fuente preferida para recibir nuestras noticias, reseñas y opiniones de expertos en tus feeds.

Antonio Quijano
Antonio Quijano
Editor
Aportaciones de