Lo que en principio parecía una mejora brillante para que los usuarios no se volvieran locos al perder el acceso a sus redes ha terminado siendo una pifia de las gordas. El asistente de soporte basado en inteligencia artificial de Meta, diseñado para agilizar la recuperación de perfiles, se ha convertido en la herramienta favorita de los ciberdelincuentes para burlar la seguridad de Instagram. La noticia ha corrido como la pólvora tras descubrirse que este sistema automatizado tenía un punto flaco que permitía el robo de cuentas sin necesidad de ser un genio de la informática.
La movida no es moco de pavo, ya que se han visto afectados perfiles de mucho peso, incluyendo algunos vinculados a instituciones oficiales y grandes marcas comerciales. El problema de base es que la IA pecaba de una ingenuidad pasmosa al priorizar la rapidez de respuesta frente a una verificación de identidad rigurosa, lo que permitió que cualquiera con un poco de labia digital pudiera engañar al chatbot de soporte para que le entregara las llaves de un perfil ajeno en cuestión de minutos.
La técnica del engaño al asistente virtual
El método que utilizaban los atacantes era más sencillo que el mecanismo de un botijo y no requería de virus ni de correos trampa. Simplemente usaban una conexión VPN para simular la ubicación del dueño real de la cuenta, ganándose así la confianza inicial del algoritmo de Meta. Una vez que el sistema creía que estaba hablando con el titular legítimo, el atacante solo tenía que pedir que se añadiera una nueva dirección de correo electrónico a la configuración del perfil, algo que la IA hacía sin rechistar mucho.
Con el nuevo correo ya vinculado, el siguiente paso era coser y cantar: solicitar un restablecimiento de contraseña. Como el código de verificación llegaba directamente al email que el hacker acababa de añadir, este podía solicitar el restablecimiento de datos y cambiar la clave de acceso de inmediato. De esta forma, el propietario original se encontraba con la sesión cerrada y sin ninguna posibilidad de recuperar su cuenta por los canales habituales, ya que el sistema de soporte ya lo consideraba un extraño.
Esta vulnerabilidad ha provocado que en el mercado negro digital se dispare la venta de nombres de usuario codiciados. Se comenta que el valor de algunas de estas cuentas, especialmente las que tienen nombres cortos o millones de seguidores, supera el millón de dólares en canales privados de Telegram. Los delincuentes no solo se hacían con el control del muro, sino que podían husmear en mensajes privados y datos sensibles de empresas y creadores de contenido de toda Europa y el mundo.
Víctimas de alto perfil y reacción de la compañía
No se ha librado ni el apuntador en esta oleada de ataques que ha dejado a Meta en una posición bastante comprometida. Entre los damnificados aparecen nombres que han dejado a más de uno con la boca abierta, como la cuenta oficial de Barack Obama o Sephora, e incluso perfiles vinculados a la Fuerza Espacial de Estados Unidos. La situación se volvió tan surrealista que incluso expertos en ciberseguridad sufrieron en sus propias carnes la facilidad con la que el bot de Meta cedía ante las peticiones de los intrusos.
La investigadora Jane Wong, conocida mundialmente por destripar el código de las aplicaciones, fue una de las que dio la voz de alarma al perder el acceso a su perfil a pesar de tener conocimientos avanzados en la materia. Recibió decenas de avisos de cambio de contraseña hasta que finalmente la aplicación la expulsó. Esto deja claro que, cuando el fallo está en la propia lógica de la empresa que debe protegerte, poco puedes hacer con las herramientas de usuario tradicionales.
Cómo protegernos tras este agujero de seguridad
Aunque desde las oficinas de Mark Zuckerberg aseguran que el parche ya ha sido aplicado y la brecha está cerrada, no está de más que nos andemos con pies de plomo. Lo más importante ahora mismo es activar la verificación en dos pasos pero evitando el sistema de SMS, que se ha demostrado vulnerable en múltiples ocasiones. Lo ideal es usar aplicaciones de autenticación como Google Authenticator o Authy, que generan códigos que no dependen del sistema de soporte de la red social.
Otro consejo de oro es echar un vistazo a las sesiones activas en la configuración de seguridad de nuestra cuenta. Si aparece algún dispositivo o ubicación que nos suene a chino mandarín, hay que cerrar todas las sesiones y cambiar el correo electrónico principal por uno que no sea público. Tener una cuenta de correo dedicada exclusivamente a las redes sociales y que nadie conozca puede ser la diferencia entre dormir tranquilos o levantarnos con un disgusto monumental.
Este incidente deja una lección bastante clara sobre los peligros que conlleva automatizar procesos sensibles sin que haya un ojo humano supervisando la jugada. Por mucho que nos prometan que la inteligencia artificial va a solucionarnos la vida, este caso demuestra que todavía le falta un hervor en lo que a malicia se refiere. La comodidad no puede ir nunca por delante de la privacidad, y nos toca a nosotros ser los primeros guardianes de nuestra propia identidad digital en un entorno que cambia cada dos por tres.