📂 Categoría: Tech,meta,hacking,cybersecurity,limited-synd | 📅 Fecha: 1780470814
🔍 En este artículo:
Los piratas informáticos afirman que engañaron al chatbot de IA de Meta para que les diera acceso a las cuentas de Instagram de otras personas, y todo lo que tenían que hacer era preguntar.
Durante el fin de semana, la gente dice que secuestraron varias cuentas de Instagram cuentas pidiendo al chatbot de soporte de Meta que vincule la cuenta de Instagram de un objetivo a una nueva dirección de correo electrónico, basándose en videos y capturas de pantalla de interacciones que circulan en línea. EL Las demostraciones muestran al chatbot diciendo que envió un código de verificación al nuevo correo electrónico. Una vez que la persona ingresó el código, el chatbot mostró una opción para restablecer la contraseña de la cuenta.
Las cuentas de la Casa Blanca de Barack Obama, el minorista de belleza Sephora y el sargento mayor de la Fuerza Espacial de EE. UU. John Bentivegna parecen haber sido comprometidas en el hack, según capturas de pantalla de sus páginas y informe de 404 medios. Ninguno de los representantes de las cuentas afectadas respondió a las consultas de Business Insider. Hasta el martes por la tarde, las tres cuentas parecían haber sido restauradas.
No está claro cuántas cuentas se vieron afectadas en total. Business Insider no pudo verificar de forma independiente los métodos de los piratas informáticos.
«Este problema se resolvió y estamos asegurando las cuentas afectadas», escribió el vicepresidente de Meta, Andy Stone, en una publicación del lunes X. La empresa no respondió a las preguntas de Business Insider.
El meta chatbot es como un humano “inexperto”
Los profesionales de la ciberseguridad dijeron a Business Insider que el exploit Meta chatbot es un recordatorio de los riesgos de subcontratar funciones críticas a la IA.
«Desafortunadamente, las plataformas de redes sociales se han centrado en la innovación de la IA antes de fortalecer la seguridad de las cuentas de sus usuarios, lo que significa que los delincuentes y los piratas informáticos inevitable y continuamente se aprovecharán de esto», afirmó Jake Moore, especialista en ciberseguridad global de ESET.
Tom Van de Wiele, fundador de la empresa de seguridad Hacker Minded, dijo que era un ejemplo de una mentalidad de «moverse rápido y romper cosas».
«Meta implementó un agente de IA para manejar la atención al cliente a nivel mundial, pero no implementó restricciones estrictas sobre lo que la IA realmente podía acceder y modificar», dijo.
En marzo, Meta lanza su asistente de soporte de inteligencia artificial, que, según dijo, brindaría «ayuda las 24 horas del día, los 7 días de la semana con problemas de la cuenta, como la actualización de su contraseña y configuración de perfil».
Tomas Stamulis, jefe de seguridad de la empresa de ciberseguridad Surfshark, comparó al asistente de inteligencia artificial de Meta con «un empleado sin experiencia». Incluso si un humano eventualmente puede darse cuenta de que algo anda mal, dice, la IA no detiene la conversación.
A medida que más empresas adoptan la IA para ser más eficientes, también genera dolores de cabeza para algunos profesionales de la ciberseguridad. Los piratas informáticos utilizan cada vez más la IA para impulsar los ciberataques y, en casos como el del asistente de IA de Meta, la utilizan como medio de entrada.
«La principal lección es que la IA nunca debería ser el árbitro final de la identidad», dijo Marijus Briedis, CTO de NordVPN, y agregó que los usuarios deben utilizar herramientas como la autenticación multifactor para proteger sus cuentas.
Una de las muchas personas que publican en X o Reddit que su cuenta de Instagram ha sido comprometida es Jane Wong, una investigadora de seguridad con sede en San Francisco. Ella le dijo a Business Insider que recibió mensajes de texto de WhatsApp para su código de inicio de sesión de Instagram el sábado por la noche, enviados por la cuenta oficial de Instagram. Ella dijo que no los pidió.
Más tarde, Wong descubrió que su contraseña de Instagram había sido cambiada sin su conocimiento. Pudo acceder a su cuenta a través de la opción «contraseña olvidada», pero continuó recibiendo mensajes de código de inicio de sesión durante el fin de semana.
«Si bien los ataques cibernéticos no son inusuales para mí, habría apreciado que Meta hubiera brindado más claridad sobre este incidente de seguridad antes», dijo.
Meta ha apostado por la IA. El gigante tecnológico ha reorganizado varios equipos para convertirlos en “nativos de IA”, trasladando a miles de empleados a proyectos de IA y está integrando la IA en sus productos y servicios.
El mes pasado, Meta despidió a unas 8.000 personas. Business Insider informó que el personal afectado incluía miembros de los equipos de integridad y ciberseguridad de Meta, que son responsables de proteger las plataformas de la empresa.
