La automatización de los servicios de atención al cliente con inteligencia artificial incrementó el riesgo de ser objeto del robo de datos privados por parte de hackers en todo el mundo, según dejó en evidencia el caso del chatbot de IA de Meta, que permitió la sustracción de más de 20.000 cuentas de Instagram.
De acuerdo con lo informado por The New York Times, en ese caso los piratas informáticos accedieron a los correos electrónicos, teléfonos y mensajes privados de sus víctimas de una forma sorprendentemente sencilla.
En su reporte, el medio recordó que a fines de mayo, la cuenta de Instagram que la Casa Blanca usó durante la administración de Barack Obama comenzó a publicar mensajes en árabe con contenido político. Pero no fue Obama ni su entorno el que lo hizo.
Cómo usaron los hackers el chatbot de la IA de Meta
Tras una rápida indagatoria, se comprobó que los hackers tomaron el control de esa y decenas de miles de cuentas más con solo pedirle al chatbot de soporte de Meta que cambiara la contraseña.
El mecanismo era directo. Los atacantes conectaban una VPN desde una ubicación cercana a la de la víctima y le indicaban al asistente de IA de Meta que vinculara un nuevo correo electrónico a la cuenta objetivo. El bot procesaba la solicitud sin verificar la identidad de quien preguntaba, enviaba un enlace de restablecimiento al email del atacante y en minutos la cuenta quedaba bajo su control.
Si bien el fallo ya fue corregido, el diario neoyorquino reveló que datos internos de Meta apuntan a que cerca de 34.000 cuentas fueron afectadas por la vulnerabilidad y, de ellas, 20.000 fueron efectivamente comprometidas, lo que dio a los atacantes acceso a correos electrónicos, teléfonos, fechas de nacimiento y otros datos personales. Más de 3.500 cuentas tuvieron su nombre de usuario cambiado.
Además, Meta reconoció que no puede determinar con exactitud qué información fue vista o robada por los atacantes durante el período en que tuvieron acceso.
Sin embargo, la versión entregada por la compañía apunta a que la falla no se originó en el agente de inteligencia artificial en sí, sino en controles internos que no funcionaron correctamente.
Qué hacer para no ser la próxima víctima
Según lo expuesto por el medio norteamericano, la verificación en dos pasos fue la diferencia entre las cuentas que resistieron el ataque y las que no.
Con el propósito de activarla en Instagram, se deben seguir los siguientes pasos: Configuración → Centro de cuentas → Contraseña y seguridad → Autenticación en dos pasos.
En esa línea, recomendó usar una aplicación de autenticación (como Google Authenticator o Authy) en lugar del SMS, ya que este último es más vulnerable.
