Se ha detectado una falta crítica en la herramienta de recuperación de cuentas de Instagram impulsada por la IA de Meta. Esta vulnerabilidad permitía a los atacantes secuestrar cuentas de alto valor engañando al chatbot para que enviara códigos de restablecimiento de contraseñas sin requerir ninguna verificación. Los investigadores de seguridad ZachXBT y Dark Web Informer fueron los primeros en exponer públicamente este fallo.

Un fallo crítico en la herramienta de recuperación de cuentas impulsada por IA de Meta en Instagram permitió a los atacantes secuestrar cuentas de alto valor, engañando al chatbot para que reenviara códigos de restablecimiento de contraseña sin requerir ninguna verificación.

Los investigadores de seguridad ZachXBT y Dark Web Informer estuvieron entre los primeros en exponer públicamente la vulnerabilidad, revelando que los actores de amenazas habían encontrado una manera de manipular al asistente Meta AI de Instagram, una herramienta diseñada para ayudar a los usuarios a recuperar el acceso a sus cuentas.

Los atacantes entablaron una conversación con el chatbot de IA y le instaron a reenviar códigos de restablecimiento de contraseña a terceros no autorizados, saltándose por completo los controles de verificación de identidad. El fallo se originó por controles insuficientes en la forma en que la IA procesaba las solicitudes de recuperación de cuenta, permitiendo efectivamente que cualquier persona que conociera el nombre de usuario de un objetivo iniciara el proceso de toma de control.

El exploit no fue una brecha de servidor tradicional; Meta confirmó que no se comprometieron los sistemas de backend. En su lugar, la vulnerabilidad residía en la capa lógica de la IA, que carecía de una limitación de tasa adecuada o de la aplicación de autenticación antes de actuar sobre las solicitudes de restablecimiento.

Cuentas de Instagram de alto valor fueron el objetivo

Los atacantes se dirigieron deliberadamente a cuentas premium de Instagram con nombres de usuario cortos, incluyendo perfiles de alto perfil como @hey y @jowo, conocidos en los mercados clandestinos por su valor de reventa.

Estas cuentas codiciadas, algunas valoradas en más de 1 millón de dólares en conjunto, fueron vendidas rápidamente a través de canales privados de Telegram antes de que Meta pudiera intervenir. La velocidad de la operación destacó cuán organizados y motivados financieramente se han vuelto los actores de amenazas al explotar las vulnerabilidades de las plataformas de redes sociales.

Dark Web Informer confirmó la actividad de ventas, rastreando en tiempo real los listados de cuentas robadas que circulaban por grupos de Telegram, una táctica cada vez más común en el ecosistema de "toma de control de cuentas como servicio".

Meta procedió a parchear la vulnerabilidad el viernes por la noche después de que surgieran informes en línea. En un comunicado oficial, la empresa dijo: “Corregimos un problema que permitía a un tercero solicitar correos electrónicos de restablecimiento de contraseña para algunos usuarios de Instagram. No hubo ninguna brecha en nuestros sistemas y las cuentas de Instagram de las personas siguen siendo seguras”.