La IA es más peligrosa de lo que creemos: así usan Meta IA para robar cuentas de Instagram

La IA es más peligrosa de lo que creemos: así usan Meta IA para robar cuentas de Instagram
Añade El Grupo Informático como fuente preferida en Google y recibe más noticias sobre tecnología
Como una corporación malvada de las películas: Apple no lanzará Siri AI en Europa para chantajear a la UE

La verificación en dos pasos es uno de los sistemas de seguridad más populares que hay a día de hoy en multitud de servicios y aplicaciones.

Normalmente, ofrece un gran nivel de protección para evitar que se roben cuentas.

Sin embargo, parece que ya se ha encontrado el punto en el que este sistema no es infalible.

El asistente de IA de Meta "regala" acceso a cuentas

Tal y como se ha podido comprobar, pueden ocurrir incidentes de seguridad en el asistente de recuperación de cuentas de Instagram impulsado por Meta IA.

Se supone que este sistema está pensado para ayudar a los verdaderos usuarios de las cuentas que han perdido el acceso.

Sin embargo, este asistente de IA tiene acceso a funciones internas muy importantes para recuperar cuentas y, en ciertos casos, puede ser manipulada y ofrecer a los atacantes información para conseguir cuentas concretas saltándose la verificación en dos pasos.

Concretamente, lo que intentan los atacantes es que el asistente genere una vía de restablecimiento que acabe en un correo controlado por ellos. Una vez recibido el enlace, pueden cambiar la contraseña, renovar los códigos de recuperación y dejar al propietario original fuera de la cuenta.

Imagen - Vulnerabilidad: así usan Meta IA para robar cuentas de Instagram

La técnica que utilizan los atacantes para vulnerar este sistema es la inyección de prompts, que es básicamente manipular un modelo de lenguaje de inteligencia artificial con instrucciones diseñadas para alterar su comportamiento.

Por otro lado, también se ha visto a los atacantes utilizar herramientas de IA para animar fotos públicas de Instagram y convertirlas en videos tipo selfie. Con ese vídeo, pueden engañar a los sistemas automatizados de verificación facial.

Imagen - Vulnerabilidad: así usan Meta IA para robar cuentas de Instagram

Compraventa de cuentas robadas, un negocio en la sombra

Al parecer, estos ataques se han realizado a cuentas muy concretas, con nombres de usuario muy cortos o palabras comunes, que suelen tener un gran valor en mercados donde se venden cuentas de usuario.

Una de estas cuentas es la cuenta @obamawhitehouse, una cuenta que llevaba inactiva desde enero de 2017 y que habría sido tomada para publicar un mensaje por parte de los atacantes antes de que Meta reaccionara.

Al parecer, los atacantes actúan con rapidez después de tomar una cuenta, una vez consiguen el acceso. Los perfiles robados se ofrecen casi de inmediato en canales de Telegram relacionados con la compraventa de cuentas. Lo quieren hacer cuanto antes para evitar una posible intervención de Meta.

Meta ha tomado medidas

Al parecer, Meta aplicó un parche de emergencia el viernes por la noche en el que desactivó los flujos conversacionales que provocan esta vulnerabilidad y a los que tienen acceso, supuestamente, los atacantes.

La compañía también afirmó que no se había producido ninguna brecha en sus sistemas y que las cuentas de Instagram siguen siendo seguras.

Por lo tanto, ahora estamos a la espera de que Meta tome medidas al respecto una vez el parche haya sido levantado.

Por ejemplo, una forma de asegurar más este sistema es que haya algún tipo de confirmación que ocurra fuera del canal que está siendo manipulado, como que si el atacante habla con el asistente, la validación debería llegar a un correo ya registrado, al teléfono existente, a la app instalada en un dispositivo reconocido, etc.

Aunque Meta suele ser siempre la protagonista en este tipo de incidentes, muchas empresas están incorporando agentes de IA a sistemas de verificación y recuperación de cuentas, por lo cual lo mismo podría aplicar para ellas en un futuro a corto plazo.

Para evitar que esta vulnerabilidad te afecte, al margen de lo que haga Meta, te recomendamos evitar la verificación en dos pasos por SMS siempre que sea posible, ya que el SMS puede verse afectado por ataques de SIM swapping‎ en los que un atacante consigue transferir el número de teléfono de la víctima con ingeniería social.

En lugar del SMS, es mejor que utilices una aplicación de autenticación. También conviene que uses un correo no público para la cuenta de Instagram para que el atacante no tenga una pieza más para construir una solicitud creíble y así robar tu cuenta.

Cómo arreglar la copia de seguridad automática de WhatsApp

Vía: The Cybersec Guru

El Grupo Informático es un medio de comunicación digital especializado en tecnología, con análisis y noticias sobre móviles, informática y el mundo digital desde 2006. Conoce más sobre el equipo de El Grupo Informático y nuestra política editorial. Puedes seguirnos en Facebook, X, Instagram, WhatsApp, Telegram o recibirnos en tu correo para no perderte las últimas noticias de tecnología.
  • Ver Comentarios
Sobre el autor
Francisco Vicente
@fran_an_97 | LinkedIn

Amante a partes iguales de la escritura y la tecnología, la cual nunca para de avanzar y sorprendernos a un ritmo vertiginoso. ¡En 30 años hemos avanzado más que en un siglo entero! Cursé un Grado Superior en Desarrollo de Aplicaciones Multiplataforma (DAM). A nivel profesional, he trabajado como copywriter, revisor de calidad y especialista SEO. Poseo un amplio conocimiento informático, destacando en áreas como plataformas de streaming, aplicaciones y Android.