Un fallo en el asistente de ayuda de Meta AI permitió a los ciberdelincuentes tomar el control de perfiles ajenos, solicitando al sistema el cambio del correo electrónico asociado para restablecer la contraseña. Como resultado, la compañía de Mark Zuckerberg ha reconocido en una carta de notificación de incidentes que más de 20.000 usuarios de Instagram han sufrido el robo de sus cuentas a raíz de los ataques perpetrados contra el sistema de soporte potenciado por IA.

En la misma carta enviada al fiscal general estadounidense Aaron Frey por la consejera general asociada y responsable legal de Respuesta a Incidentes de Meta, Amber Hannah, Meta ha confirmado que el incidente ocurrió el 17 de abril y que, por ahora, no tiene información sobre los datos personales a los que se han accedido o que han sido robados. No obstante, la compañía ha señalado que los ciberdelincuentes podrían haber accedido a la información de contacto, publicaciones, contenido, mensajes directos, fechas de nacimiento, actividad de la cuenta y perfiles y servicios conectados.

Ante dicha situación, Hannah ha señalado en la carta que "la herramienta funcionaba correctamente, pero que debido a un bug en una ruta de código independiente, el sistema no verificaba que la dirección de correo electrónico proporcionada coincidiera con la dirección de correo asociada a la cuenta de Instagram de ese usuario". Por lo tanto, los ciberdelincuentes aprovecharon que el sistema HTS (High Touch Support, por sus siglas en inglés) no verificaba si las direcciones de email estaban asociadas con las cuentas objetivo de Instagram, por lo que obtuvieron los enlaces de restablecimiento de contraseña para secuestrar las cuentas que no tenían habilitada la autenticación de dos factores (2FA).

Meta asegura que el problema ya está resuelto

Tras conocer el incidente, Meta desactivó el servicio de soporte HTS potenciado por inteligencia artificial y todos los enlaces de restablecimiento de contraseña para evitar las sustracciones de cuentas. Por ahora, el vicepresidente de Comunicaciones de Meta, Andy Stone, ha dado a conocer en su perfil de la red social X que el problema ya ha sido resuelto y que están asegurando las cuentas impactadas.

La compañía de Zuckerberg tiene planeado volver a lanzar el servicio, aunque antes debe corregir el sistema de autenticación para asegurar una verificación adecuada antes de restablecer la contraseña.

¿A quién afectó este fallo de seguridad?

Dicha vulnerabilidad afectó a la cuenta del Sargento Mayor Jefe de la Fuerza Espacial de Estados Unidos, a la cadena de cosméticos Sephora y al perfil de Barack Obama, de cuando fue el presidente de Estados Unidos.

También, entre los afectados se encontró Jane Manchun Wong, reconocida investigadora de seguridad e ingeniera inversa, quien aseguró en la red social X que perdió el acceso a su cuenta tras múltiples intentos de restablecimiento no autorizados y cierres de sesión reiterados en Instagram para iOS.

El timo de la llamada perdida se ha consolidado como una de las estafas telefónicas más comunes en España. Los ciberdelincuentes realizan una llamada que apenas dura un tono y cuelgan antes de que la víctima pueda responder, de esta manera, al ver una llamada perdida de un número desconocido, muchas personas deciden devolverla sin sospechar que, al hacerlo, pueden ser redirigidas a una línea de tarificación especial que genera cargos adicionales en la factura telefónica.

Ante el auge de este fraude, en los últimos meses, han empezado a surgir nuevas herramientas que están diseñadas para ayudar a los usuarios a identificar números sospechosos antes de devolver la llamada. Una de las más recientes ha sido presentada por la empresa de ciberseguridad Malwarebytes, que ha lanzado un servicio gratuito capaz de analizar números desconocidos y determinar si podrían estar relacionados con estafas telefónicas.

Dicha herramienta se llama 'Scam Number Check', ofrece una capa adicional de protección e indica si un número es seguro, sospechoso o pertenece a una estafa. Pero, ¿cómo funciona? Basta con hacer clic en este enlace, elegir el prefijo de donde proviene la llamada, escribir o pegar el número y, por último, proceder a la búsqueda.

A continuación, Malwarebytes procesa el número a través de su motor de inteligencia de amenazas para analizar los datos del operador, el tipo de teléfono, la ubicación general del número, las señales contextuales y los posibles signos de indicios de fraude. Y en cuestión de segundos, la herramienta indica si es seguro el número de teléfono, si es sospechoso o si está marcado como una estafa en su bate de datos.

Es importante mencionar que Malwarebytes no almacena los números de teléfono que se buscan, debido a que solo guarda el número que ha sido reportado por ser una estafa. Por lo tanto, esto significa que la búsqueda permanece privada hasta se califica una llamada como fraude o sospechosa.

Estos son los prefijos más comunes para hacer estafas telefónicas

En una publicación de la red social X, la Guardia Civil advirtió de los prefijos de teléfono que se deben evitar para no ser víctimas de estafas: +355, +225, +233, +234, +803, +806 y +807. Si se ve alguno de estos prefijos, se recomienda no responder ni devolver la llamada para que los ciberdelincuentes no apliquen tarifas extras en las tarifas.

Ultrahuman es una startup fundada en 2019 que comercializa los anillos inteligentes Ring Air y dispositivos de monitorización de la salud metabólica, diseñados para recopilar datos sobre parámetros como el sueño y la actividad física. Sin embargo, en marzo, esta compañía sufrió una brecha de seguridad que comprometió la información de sus usuarios.

El diario TechCrunch informa que "unos ciberdelincuentes obtuvieron acceso no autorizado a los datos de bienestar de sus clientes tras robar las contraseñas de un empleado mediante un software malicioso", afectando a un sistema utilizado para análisis internos. No obstante, tras informar sobre el incidente a los usuarios a través de un correo electrónico, Ultrahuman dio a conocer que detectó la "intrusión" con tiempo, desconectó el sistema afectado y "revocó" todos los accesos.

Así lo afirma Mohit Kumar, CEO de Ultrahuman, en un comunicado a TechCrunch: "Nuestros sistemas de alerta de seguridad detectaron el incidente en cuestión de horas y solucionamos la vulnerabilidad rápidamente".

¿A cuántos usuarios ha afectado esta brecha de seguridad?

El incidente se produjo cuando los atacantes utilizaron credenciales robadas de un ordenador portátil corporativo infectado con malware, lo que les permitió acceder a los datos de bienestar de alrededor del 0,1 % de los usuarios.

Considerando los aproximadamente 700.000 usuarios activos mensuales reportados previamente por la compañía, el 0,1% de afectados equivaldría a unos 700 clientes cuyos datos de salud habrían quedado expuestos. Si bien Ultrahuman no ha desmentido esta estimación, se ha negado a proporcionar la cifra exacta de usuarios afectados. No obstante, la empresa ha asegurado que las contraseñas, la información de pago, los sistemas de producción y los dispositivos Ultrahuman Ring no se vieron comprometidos durante la brecha de seguridad.

Por otro lado, es importante mencionar que Ultrahuman se negó a revelar detalles sobre si recibió alguna comunicación de los ciberdelincuentes y tampoco especificó qué es exactamente "datos de bienestar".

Sin duda, esta filtración pone de manifiesto cómo las empresas emergentes de seguimiento del bienestar, como Ultrahuman, almacenan los datos de los usuarios en sus servidores, de forma que permiten a sus empleados acceder a los datos de salud.