La tecnología puede ser usada para bien y para mal. Es algo que hemos visto en muchas ocasiones a lo largo de nuestra historia y que se sigue produciendo con la llegada de la IA. Como hemos comentado en muchas ocasiones, todas las herramientas que la IA nos ofrece para bien son usadas por muchos otros para mal. En este caso, para que los ciberdelincuentes puedan sofisticar sus ataques e intentos de engaños.
Engañar a los usuarios, como ocurre con los casos de phishing, es algo habitual. Lo que no es tan habitual es que se logre engañar a la IA para convertirla en un aliado en el hackeo de cuentas. Es precisamente lo que ha ocurrido con un reciente fallo de Meta AI. Pensado para ayudar a los usuarios, un fallo en su sistema de lógica ha hecho que trabaje por todo lo contrario.
Meta AI en el lado oscuro
Según se han revelado diferentes fuentes y foros, durante los últimos días, varios atacantes lograban pedirle al bot de soporte que cambiara la dirección de correo vinculada a una cuenta de Instagram objetivo. El asistente lo hacía sin aplicar una verificación fuerte de identidad. A partir de ahí, el siguiente paso era tan simple como restablecer la contraseña y quedarse con la cuenta. No era una técnica sofisticada ni mucho menos; simplemente ha sido poner a prueba al asistente de IA en su nivel más básico.
Meta AI sí pedía en muchos casos una verificación, pero esta se trataba de una simple prueba de ubicación. Los atacantes solo tenían que cambiarse la ubicación a la de la víctima.
Usando una VPN, y la puerta se abría de par en par. Incluso en los casos en los que Meta pedía pruebas adicionales, como una verificación selfie, algunos demostraron que también podía sortearse con ayuda de herramientas de inteligencia artificial.
Problema solucionado.
La vulnerabilidad estuvo prácticamente al alcance del público, y durante ese tiempo se dispararon los secuestros de cuentas. Es bien sabido que los atacantes intentan vender rápidamente esas cuentas en el mercado negro, ya sea en la dark web o en algunos canales privados de Telegram. Lo sangrante es que la bola se ha destapado ahora, y se sabe que la vulnerabilidad llevaba activa desde el pasado mes de marzo.
Meta asegura haber corregido el fallo durante el fin de semana. Desde la compañía se ha revelado que ya se estaba trabajando en proteger las cuentas afectadas. El objetivo de los hackers han sido cuentas con muchos seguidores, verificadas o de personajes populares, que son las que más valor pueden tener llegado el momento de comerciar con ellas.
Lo más curioso del asunto es que la vulnerabilidad de Meta AI estaba ahí para ambos lados. Es decir, los hackers robaban las cuentas engañando a la IA, pero los usuarios que eran conscientes de la vulnerabilidad procedían a recuperarla mediante el mismo método. El fallo también ha puesto de manifiesto las quejas de muchos usuarios, incapaces de encontrar ayuda rápida y humana cuando ocurre un problema de este u otro tipo.
