Un ataque informático a Instagram, en el que los atacantes lograron que el chatbot de soporte de IA de Meta les entregara acceso a cuentas de alto perfil, puso al descubierto una vulnerabilidad crítica en el núcleo de la estrategia de la compañía para automatizar funciones sensibles de los usuarios.
La brecha permitió a los hackers apoderarse de cuentas como la página inactiva de la Casa Blanca de Obama, la de la cadena de cosméticos Sephora y la de un alto funcionario de la Fuerza Espacial de EU.
El chatbot fue persuadido para restablecer las credenciales de las cuentas sin verificar la identidad de forma independiente, convirtiendo así una herramienta de seguridad de alta confianza en una gran debilidad, informaron expertos en ciberseguridad a Reuters.
Este incidente subraya una vulnerabilidad más amplia, ya que las empresas tecnológicas otorgan a los sistemas de IA un control total sobre tareas como la recuperación de cuentas, a pesar de que estos sistemas siguen siendo susceptibles a la manipulación mediante un tipo de ataque conocido como “inyección instantánea”.
Para Meta, este tropiezo llega en un momento delicado. El gigante de las redes sociales redobló su apuesta por la IA, recortando miles de puestos de trabajo y comprometiendo hasta 145,000 millones de dólares en infraestructura. Este incidente podría intensificar la preocupación de que la empresa estuviera acelerando la automatización de funciones críticas antes de que la tecnología estuviera lista para gestionarlas de forma segura.
Meta declaró que el problema se había resuelto y que estaba protegiendo las cuentas afectadas, pero el incidente inquietó a los inversores, ya preocupados por el elevado gasto de la empresa en IA, provocando una caída de más del 5% en el precio de sus acciones.
Lee más: Prácticas de seguridad de las empresas de IA no cumplen con los estándares globales: estudio
Aficionados al hackeo están preocupados por el uso de IA en ciberseguridad
Hackers no identificados llevaron a cabo el ataque durante el fin de semana, bloqueando el acceso de los usuarios a sus cuentas y provocando una oleada de quejas en plataformas como X y Reddit.
El sitio web de noticias 404 Media informó que el hackeo representa el último revés para Meta en la implementación de la IA en sus productos.
La compañía lanzó el chatbot de soporte en marzo para abordar un problema de larga data: la falta de asistencia humana para los usuarios que pierden el acceso a sus cuentas o enfrentan sanciones erróneas.
Una investigación de Reuters en agosto reveló que Meta no contaba con medidas de seguridad que impidieran que sus chatbots de IA mantuvieran conversaciones “sensuales” con menores, ofrecieran información médica incorrecta o se hicieran pasar por personas reales.
Desde entonces, la compañía anunció que ofrecerá mayor control a los padres y abrirá una nueva pestaña para adolescentes con el fin de evitar que los usuarios más jóvenes accedan a contenido inapropiado en sus plataformas.
Analistas y expertos señalaron que el problema no se limitaba a Meta, advirtiendo que era probable que se produjeran más ataques similares a medida que los hackers utilizan la IA como arma.
“La preocupación no radica necesariamente en la IA en sí, sino en si existen las salvaguardas adecuadas en torno a las acciones que se le autorizan a realizar”, afirmó Cliff Steinhauer, director de seguridad de la información y participación de la Alianza Nacional de Ciberseguridad.
Desde el lanzamiento de ChatGPT a finales de 2022, que impulsó una avalancha de implementaciones de chatbots con IA, los hackers han aprovechado la oportunidad para realizar ataques rápidos. En un caso, el atacante engañó al bot de un concesionario Chevrolet para que vendiera una camioneta Tahoe por 1 dólar.
“No es un problema exclusivo de Meta. La gente utiliza estos agentes de IA para muchas cosas. Lo que estamos viendo son problemas inesperados que surgen con el uso de la IA”, declaró Engin Kirda, profesor del Departamento de Ingeniería Eléctrica e Informática de la Universidad Northeastern.
“Antes, las personas eran víctimas de estafas. Ahora, vemos que los agentes son el objetivo de las estafas”, dijo, refiriéndose a los agentes de IA o asistentes digitales autónomos que están capacitados para realizar tareas complejas.
Con información de Reuters
Inspírate, descubre y comparte. ¡Síguenos y encuentra lo que buscas en nuestro Instagram!
