¿La IA como asistente para los hackers? En este ataque a 34,000 cuentas de Instagram, sí lo fue
Lo único que tuvieron que hacer los piratas cibernéticos fue pedirla al asistente de inteligencia artificial de Meta que restableciera las contraseñas de las miles de cuentas afectadas.
Conclusiones Clave
- Los usuarios afectados reportaron en su momento que no había forma de escalar su problema a un agente humano, lo que deja ver el riesgo de reemplazar el soporte humano con chatbots de IA.
El primer indicio del hackeo fue la reactivación de una cuenta en Instagram del expresidente Barack Obama. Tras años de inactividad comenzaron a aparecer publicaciones que criticaban al gobierno de Donald Trump y diciendo que la actual administración estaba bajo control chiita.
Y esa no fue la única cuenta en mostrar actividad inusual. 34,000 cuentas de Instagram fueron atacadas en mayo por un grupo de hackers que encontró una vulnerabilidad en la infraestructura de inteligencia artificial de Meta y que les permitía restablecer la contraseña de cualquier cuenta con ayuda de uno de los chatbots de la empresa.
Según reportes, de las 34,000 cuentas afectadas, 20,000 fueron vulneradas, dándole acceso a los piratas cibernéticos a correos electrónicos, números telefónicos, fechas de cumpleaños y otros datos sensibles. Unas 3,500 cuentas sufrieron cambios en los nombres de los usuarios que fueron tomados y reemplazados por los hackers.
Relacionado: El impacto de la IA en la ciberseguridad: ¿oportunidad o riesgo real?
¿La IA como asistente para los hackers?
Según un reporte del sitio 404media.co, lo único que los piratas tuvieron que hacer para vulnerar las cuentas de Instagram fue pedirle ayuda al chatbot de la empresa para modificar las contraseñas. Según el sitio: “La noticia evidencia el riesgo extremo de delegar el soporte o funciones críticas a un chatbot de IA”.
En marzo Meta, la empresa propietaria de Instagram, Facebook y WhatsApp, anunció que estaba integrando un asistente de IA en sus plataformas para facilitarle la vida a sus usuarios. La idea es que en lugar de tener que “cazar respuestas” los usuarios puedan hacerle una pregunta directamente a la IA para recibir apoyo inmediato y, en muchos casos, verla resolver en tiempo real el problema.
Pero el chatbot tenía vulnerabilidades que fueron aprovechadas por los hackers para tomar posesión de las cuentas.
Según The New York Times, Andy Stone, portavoz de Meta, explicó: “Algunas de nuestras comprobaciones internas de fondo fallaron en este caso, pero no fue por culpa del agente de IA en sí, y hemos abordado la causa subyacente”. El ejecutivo agregó que, independientemente del incidente y gracias a los agentes de IA, el número de usuarios que han podido recuperar cuentas hackeadas se ha incrementado en un 30% en Estados Unidos y Canadá en comparación con el año pasado. Este caso muestra los riesgos que implica la integración de herramientas de IA a plataformas y servicios que utilizamos todos los días.
Y mientras las empresas buscan competir para posicionarse y cautivar a los usuarios en un mercado hiper competido en donde figuran empresas como OpenAI y Anthropic, los piratas cibernéticos aprovechan las bondades de los asistentes de IA para detectar fallos en soluciones apresuradas en un intento por ganar usuarios.
Conclusiones Clave
- Los usuarios afectados reportaron en su momento que no había forma de escalar su problema a un agente humano, lo que deja ver el riesgo de reemplazar el soporte humano con chatbots de IA.
El primer indicio del hackeo fue la reactivación de una cuenta en Instagram del expresidente Barack Obama. Tras años de inactividad comenzaron a aparecer publicaciones que criticaban al gobierno de Donald Trump y diciendo que la actual administración estaba bajo control chiita.
Y esa no fue la única cuenta en mostrar actividad inusual. 34,000 cuentas de Instagram fueron atacadas en mayo por un grupo de hackers que encontró una vulnerabilidad en la infraestructura de inteligencia artificial de Meta y que les permitía restablecer la contraseña de cualquier cuenta con ayuda de uno de los chatbots de la empresa.
Según reportes, de las 34,000 cuentas afectadas, 20,000 fueron vulneradas, dándole acceso a los piratas cibernéticos a correos electrónicos, números telefónicos, fechas de cumpleaños y otros datos sensibles. Unas 3,500 cuentas sufrieron cambios en los nombres de los usuarios que fueron tomados y reemplazados por los hackers.
Relacionado: El impacto de la IA en la ciberseguridad: ¿oportunidad o riesgo real?
¿La IA como asistente para los hackers?
Según un reporte del sitio 404media.co, lo único que los piratas tuvieron que hacer para vulnerar las cuentas de Instagram fue pedirle ayuda al chatbot de la empresa para modificar las contraseñas. Según el sitio: “La noticia evidencia el riesgo extremo de delegar el soporte o funciones críticas a un chatbot de IA”.
En marzo Meta, la empresa propietaria de Instagram, Facebook y WhatsApp, anunció que estaba integrando un asistente de IA en sus plataformas para facilitarle la vida a sus usuarios. La idea es que en lugar de tener que “cazar respuestas” los usuarios puedan hacerle una pregunta directamente a la IA para recibir apoyo inmediato y, en muchos casos, verla resolver en tiempo real el problema.
Pero el chatbot tenía vulnerabilidades que fueron aprovechadas por los hackers para tomar posesión de las cuentas.
Según The New York Times, Andy Stone, portavoz de Meta, explicó: “Algunas de nuestras comprobaciones internas de fondo fallaron en este caso, pero no fue por culpa del agente de IA en sí, y hemos abordado la causa subyacente”. El ejecutivo agregó que, independientemente del incidente y gracias a los agentes de IA, el número de usuarios que han podido recuperar cuentas hackeadas se ha incrementado en un 30% en Estados Unidos y Canadá en comparación con el año pasado. Este caso muestra los riesgos que implica la integración de herramientas de IA a plataformas y servicios que utilizamos todos los días.
Y mientras las empresas buscan competir para posicionarse y cautivar a los usuarios en un mercado hiper competido en donde figuran empresas como OpenAI y Anthropic, los piratas cibernéticos aprovechan las bondades de los asistentes de IA para detectar fallos en soluciones apresuradas en un intento por ganar usuarios.
