Un fallo en el asistente de ayuda de Meta AI permitió a los ciberdelincuentes tomar el control de perfiles ajenos, solicitando al sistema el cambio del correo electrónico asociado para restablecer la contraseña. Como resultado, la compañía de Mark Zuckerberg ha reconocido en una carta de notificación de incidentes que más de 20.000 usuarios de Instagram han sufrido el robo de sus cuentas a raíz de los ataques perpetrados contra el sistema de soporte potenciado por IA.

En la misma carta enviada al fiscal general estadounidense Aaron Frey por la consejera general asociada y responsable legal de Respuesta a Incidentes de Meta, Amber Hannah, Meta ha confirmado que el incidente ocurrió el 17 de abril y que, por ahora, no tiene información sobre los datos personales a los que se han accedido o que han sido robados. No obstante, la compañía ha señalado que los ciberdelincuentes podrían haber accedido a la información de contacto, publicaciones, contenido, mensajes directos, fechas de nacimiento, actividad de la cuenta y perfiles y servicios conectados.

Ante dicha situación, Hannah ha señalado en la carta que "la herramienta funcionaba correctamente, pero que debido a un bug en una ruta de código independiente, el sistema no verificaba que la dirección de correo electrónico proporcionada coincidiera con la dirección de correo asociada a la cuenta de Instagram de ese usuario". Por lo tanto, los ciberdelincuentes aprovecharon que el sistema HTS (High Touch Support, por sus siglas en inglés) no verificaba si las direcciones de email estaban asociadas con las cuentas objetivo de Instagram, por lo que obtuvieron los enlaces de restablecimiento de contraseña para secuestrar las cuentas que no tenían habilitada la autenticación de dos factores (2FA).

Meta asegura que el problema ya está resuelto

Tras conocer el incidente, Meta desactivó el servicio de soporte HTS potenciado por inteligencia artificial y todos los enlaces de restablecimiento de contraseña para evitar las sustracciones de cuentas. Por ahora, el vicepresidente de Comunicaciones de Meta, Andy Stone, ha dado a conocer en su perfil de la red social X que el problema ya ha sido resuelto y que están asegurando las cuentas impactadas.

La compañía de Zuckerberg tiene planeado volver a lanzar el servicio, aunque antes debe corregir el sistema de autenticación para asegurar una verificación adecuada antes de restablecer la contraseña.

¿A quién afectó este fallo de seguridad?

Dicha vulnerabilidad afectó a la cuenta del Sargento Mayor Jefe de la Fuerza Espacial de Estados Unidos, a la cadena de cosméticos Sephora y al perfil de Barack Obama, de cuando fue el presidente de Estados Unidos.

También, entre los afectados se encontró Jane Manchun Wong, reconocida investigadora de seguridad e ingeniera inversa, quien aseguró en la red social X que perdió el acceso a su cuenta tras múltiples intentos de restablecimiento no autorizados y cierres de sesión reiterados en Instagram para iOS.

El timo de la llamada perdida se ha consolidado como una de las estafas telefónicas más comunes en España. Los ciberdelincuentes realizan una llamada que apenas dura un tono y cuelgan antes de que la víctima pueda responder, de esta manera, al ver una llamada perdida de un número desconocido, muchas personas deciden devolverla sin sospechar que, al hacerlo, pueden ser redirigidas a una línea de tarificación especial que genera cargos adicionales en la factura telefónica.

Ante el auge de este fraude, en los últimos meses, han empezado a surgir nuevas herramientas que están diseñadas para ayudar a los usuarios a identificar números sospechosos antes de devolver la llamada. Una de las más recientes ha sido presentada por la empresa de ciberseguridad Malwarebytes, que ha lanzado un servicio gratuito capaz de analizar números desconocidos y determinar si podrían estar relacionados con estafas telefónicas.

Dicha herramienta se llama 'Scam Number Check', ofrece una capa adicional de protección e indica si un número es seguro, sospechoso o pertenece a una estafa. Pero, ¿cómo funciona? Basta con hacer clic en este enlace, elegir el prefijo de donde proviene la llamada, escribir o pegar el número y, por último, proceder a la búsqueda.

A continuación, Malwarebytes procesa el número a través de su motor de inteligencia de amenazas para analizar los datos del operador, el tipo de teléfono, la ubicación general del número, las señales contextuales y los posibles signos de indicios de fraude. Y en cuestión de segundos, la herramienta indica si es seguro el número de teléfono, si es sospechoso o si está marcado como una estafa en su bate de datos.

Es importante mencionar que Malwarebytes no almacena los números de teléfono que se buscan, debido a que solo guarda el número que ha sido reportado por ser una estafa. Por lo tanto, esto significa que la búsqueda permanece privada hasta se califica una llamada como fraude o sospechosa.

Estos son los prefijos más comunes para hacer estafas telefónicas

En una publicación de la red social X, la Guardia Civil advirtió de los prefijos de teléfono que se deben evitar para no ser víctimas de estafas: +355, +225, +233, +234, +803, +806 y +807. Si se ve alguno de estos prefijos, se recomienda no responder ni devolver la llamada para que los ciberdelincuentes no apliquen tarifas extras en las tarifas.