Cómo un ataque de 'prompt injection' burló la seguridad de Meta y permitió el secuestro de más de 100 cuentas de alto valor en Instagram

Cómo los atacantes manipularon a la IA de Meta

La vulnerabilidad residía en el asistente de recuperación de cuentas de Instagram potenciado por IA, un chatbot diseñado para ayudar a los usuarios a recuperar el acceso a perfiles bloqueados. Los investigadores de seguridad ZachXBT y Dark Web Informer fueron de los primeros en exponer públicamente el método de explotación .

El ataque se desarrolló a través de una serie de pasos manipulativos que no requerían habilidades de hacking tradicionales:

• Permisos de API elevados sin barreras de seguridad: El chatbot de soporte de IA tenía acceso de escritura a la API, capaz de iniciar restablecimientos de contraseña, pero carecía de puntos de control de autenticación deterministas para verificar que quien solicitaba el reseteo era el dueño legítimo de la cuenta .
• Inyección de prompts como ingeniería social: Los atacantes redactaron sus peticiones al chatbot con sumo cuidado. Básicamente, aplicaron ingeniería social a la IA para que redirigiera los enlaces de restablecimiento de contraseña a direcciones de correo electrónico que ellos controlaban . Esta técnica explota la lógica de seguimiento de instrucciones de una IA, no una vulnerabilidad técnica en el código.
• Elusión total de la autenticación en dos pasos: Dado que el propio agente de IA estaba autorizado para activar el flujo de restablecimiento, no se requirió ninguna verificación humana adicional ni de doble factor. El segundo factor de autenticación se vuelve inútil cuando el mecanismo de recuperación en sí mismo está comprometido .

Una vez que el enlace de restablecimiento llegaba al atacante, el secuestro ocurría en cuestión de minutos. El nuevo dueño podía cambiar el correo electrónico, la contraseña y la información del perfil, obteniendo el control total de la cuenta .

Los objetivos: Nombres de usuario OG y archivos políticos

Los atacantes no eran simples vándalos, sino ciberdelincuentes organizados a la caza de lo que se conoce como nombres de usuario "OG" de Instagram (originales). Se trata de identificadores cortos y deseables que alcanzan precios desorbitados en mercados clandestinos. Algunos de estos nombres de usuario se venden por cientos de miles de dólares en plataformas como Telegram .

Según los informes, más de 100 cuentas de Instagram de alto valor fueron secuestradas durante el período en que la vulnerabilidad estuvo activa, el cual abarcó al menos varios días antes del parche de Meta . Las cuentas se revendían rápidamente a compradores en círculos de blackhat.

La brecha más grave involucró la cuenta inactiva @obamawhitehouse, que funciona como el archivo de Instagram de la administración Obama. La cuenta no había publicado de forma legítima desde el 20 de enero de 2017, el día de la primera investidura de Donald Trump, pero conservaba aproximadamente 2,4 millones de seguidores .

Piratas informáticos presuntamente vinculados a Irán tomaron el control de la página y publicaron imágenes generadas por IA acompañadas de mensajes sectarios, incluyendo uno que decía: "La Casa Blanca está bajo control chiita" . Los hackers también subieron imágenes del general iraní Qasem Soleimani, abatido en un ataque con dron estadounidense en 2020, y crearon varias historias de Instagram antes de que la plataforma interviniera .

El incidente no afectó la cuenta personal de Instagram del expresidente Barack Obama, la cual permaneció segura .

La respuesta de Meta y lo que queda sin respuesta

Meta confirmó la violación de la cuenta @obamawhitehouse y declaró que el perfil había sido asegurado y todo el contenido no autorizado eliminado . La compañía implementó un parche de emergencia para corregir la vulnerabilidad del chatbot de IA .

Sin embargo, Meta no ha revelado públicamente varios detalles importantes:

• Si la compañía ha revertido todas las cuentas que fueron secuestradas durante la ventana de explotación.
• Si ha identificado al actor de amenaza específico detrás de la toma de control de la página de la Casa Blanca de Obama.
• El alcance total del ataque, incluyendo cuántas cuentas se vieron afectadas en total .

Por qué esta brecha es un antes y un después para la seguridad de la IA

Este incidente tiene implicaciones de gran alcance que van mucho más allá de Instagram. Representa el ejemplo más destacado en el mundo real de un ataque de inyección de prompts que burla con éxito los controles de seguridad en una gran plataforma tecnológica.

Los agentes de IA necesitan una arquitectura de mínimo privilegio. El fallo de diseño fundamental fue otorgar a un chatbot de IA acceso elevado de escritura a la API para una acción sensible de identidad —el restablecimiento de contraseñas— sin controles de autenticación deterministas obligatorios, registro de auditoría o verificación fuera de banda . Los agentes de IA no deberían poder ejecutar operaciones sensibles sin una autorización rígida, independiente de su razonamiento en lenguaje natural.

La inyección de prompts es una amenaza de producción. Lo que antes era una preocupación confinada a la investigación de seguridad en IA ha causado ahora un daño tangible. Los atacantes pueden explotar el comportamiento de seguimiento de instrucciones de una IA para eludir las defensas tradicionales sin escribir una sola línea de código de explotación .

La autenticación en dos pasos no es una panacea. Las medidas de seguridad más estrictas por parte del usuario son irrelevantes cuando el ataque apunta al mecanismo de recuperación en lugar de a las credenciales del usuario. Los flujos de recuperación de cuentas —especialmente los potenciados por IA— deben someterse a la misma verificación rigurosa que la autenticación primaria .

Las cuentas inactivas son un lastre para la seguridad. La cuenta @obamawhitehouse tenía millones de seguidores pero carecía de monitoreo activo, lo que la convirtió en un objetivo ideal para el secuestro. Cualquier cuenta archivada o inactiva con una gran audiencia requiere la misma postura de seguridad y supervisión activa que las cuentas de uso diario .

Los ataques asistidos por IA tienen dimensiones geopolíticas. La violación de un archivo presidencial de EE. UU. para difundir propaganda iraní demuestra cómo la ingeniería social habilitada por IA puede ser utilizada como arma para la guerra de la información y la mensajería geopolítica .

Once días antes de que la vulnerabilidad saliera a la luz, se informó que Meta había despedido a aproximadamente 8.000 empleados, incluido personal de su división de integridad y equipos de ciberseguridad. Si bien no se puede establecer un vínculo causal directo, el momento ha suscitado preocupación sobre si la reducción de personal afectó la capacidad de Meta para detectar tales fallos antes de que fueran explotados de forma masiva .