- Meta confirma que 20.225 cuentas de Instagram se han visto afectadas por el error de restablecimiento de contraseña de HTS
- El error permite a los atacantes enviar solicitudes de reinicio a correos electrónicos no solicitados
- HTS deshabilitado, restablecimiento de contraseña, revisión completa del flujo de recuperación en progreso
El ataque de la semana pasada contra el servicio de atención al cliente de Meta afectó a poco más de 20.000 cuentas, según ha confirmado la empresa. Los piratas informáticos pudieron acceder a estos perfiles y posiblemente extraer los datos que se encuentran en su interior.
La semana pasada, surgió la noticia de que los ciberdelincuentes explotaron una vulnerabilidad en el servicio de atención al cliente basado en inteligencia artificial de Mater, engañándolo para que enviara códigos de restablecimiento de contraseña para las cuentas de otras personas.
Ahora, el propietario de Facebook e Instagram ha presentado un nuevo informe ante la oficina del Fiscal General de Maine, afirmando que 20.225 personas se vieron afectadas. En una carta enviada a Maine AG, Meta dijo que la compañía descubrió una falla en Hi Touch Support (un sistema de recuperación de cuentas de Instagram asistido por IA) el 31 de mayo de 2026.
Intrusión mitigada
“La herramienta en sí funcionó correctamente y funcionó según lo previsto; sin embargo, debido a un error en una ruta de código separada, el sistema no pudo verificar adecuadamente que la dirección de correo electrónico proporcionada por la persona que solicitaba un restablecimiento de contraseña coincidiera con la dirección de correo electrónico asociada con la cuenta de Instagram de ese usuario. Como resultado, cuando una persona proporcionó una dirección de correo electrónico que no estaba previamente asociada con la cuenta, el sistema envió erróneamente una solicitud para restablecer la contraseña en lugar de restablecer un enlace para restablecer la contraseña”, explicó Meta.
La compañía dice que no hay evidencia de eliminación de datos, pero lo deja como una posibilidad, dado que los piratas informáticos pudieron acceder a ellos fácilmente. Esto incluye información de contacto (dirección de correo electrónico y/o número de teléfono), fecha de nacimiento, publicaciones y contenido en redes sociales (fotos, videos, historias), mensajes directos y comunicaciones, actividad de la cuenta e historial de interacciones, información de perfil (biografía, foto de perfil) y cuentas y servicios vinculados.
Para resolver el problema, desactive el sistema Meta HTS y restablezca las contraseñas de todos los perfiles afectados. Inscribió todas las cuentas objetivo en un punto de control de seguridad obligatorio y pidió a todos los usuarios que se volvieran a autenticar.
“Antes de relanzar la herramienta, Meta arreglará las comprobaciones de autenticación en los puntos de entrada de recuperación de Instagram para garantizar la verificación adecuada de las direcciones de correo electrónico con la información de la cuenta existente antes de iniciar cualquier restablecimiento de contraseña”, enfatizó Meta. “Además, Meta está llevando a cabo una revisión exhaustiva de flujos de recuperación de cuentas similares en toda la plataforma Meta para identificar y solucionar cualquier problema potencial”.
Muhammad Yahya Patel, VCISO y asesor de seguridad cibernética de Huntress dijo:
“Esta es una nueva categoría de riesgo que la industria debe comenzar a tomar en serio. A medida que la IA está integrada en los flujos de trabajo operativos, la atención al cliente, la verificación de identidad y la gestión de acceso, la superficie de ataque cambia de vulnerabilidades técnicas a vulnerabilidades lógicas.
Cualquier organización que implemente IA en flujos de trabajo de soporte, identidad o acceso debe hacerse una pregunta antes de comenzar a funcionar: ¿Qué pasa si un atacante trata esta herramienta como una superficie de ataque? Los sistemas de inteligencia artificial que pueden desencadenar acciones privilegiadas, como restablecimiento de contraseñas, acceso a cuentas y recuperación de datos, requieren el mismo estricto control de acceso y lógica de verificación que cualquier otro sistema privilegiado. El hecho de que esté impulsado por IA no lo hace menos riesgoso. En este punto, para muchas empresas, es hacerlo más alto.
Una cuestión más importante es lo que esto indica sobre el proceso de revisión de seguridad de las herramientas impulsadas por IA antes de que entren en producción”.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
