Una grave falla lógica en el chatbot de soporte impulsado por IA de Meta para Instagram permitió a atacantes eludir completamente la autenticación en dos pasos sin necesidad de códigos, mediante solicitudes directas al asistente. Este vector habilitó el secuestro rápido de cuentas valiosas, incluidos nombres “OG” y perfiles verificados, explotando accesos privilegiados del bot para modificar correos electrónicos y restablecer contraseñas sin alertar a las víctimas.
Productos afectados
| Fabricante | Producto | Componente | Impacto |
|---|---|---|---|
| Meta | Chatbot de soporte con IA | Secuestro de cuentas mediante restablecimiento de contraseña sin verificación adicional |
Solución
Meta aplicó un parche de emergencia que deshabilita o limita severamente los flujos conversacionales del chatbot con acceso directo a APIs de administración de cuentas.
Recomendaciones
Se recomienda a los usuarios actualizar la configuración de seguridad utilizando autenticación multifactor mediante apps autenticadoras o llaves físicas, cambiar a correos electrónicos no públicos, renovar códigos de respaldo y auditar sesiones activas para detectar accesos no reconocidos.