El agente de soporte basado en inteligencia artificial de Meta otorgaba acceso a las cuentas vinculando correos electrónicos de recuperación para cualquier persona que lo solicitara, sin que los Centros de Operaciones de Seguridad (SOC) detectaran ninguna alerta. Debido a que los agentes autorizados generan registros de transacciones legítimas, los mecanismos de detección no disparaban ningún aviso. Así, los atacantes simplemente pedían al bot realizar el cambio, recibían el código de un solo uso enviado y ejecutaban el restablecimiento de contraseña, según informó 404 Media.
Lo sorprendente es que no hubo malware involucrado, ni credenciales robadas, ni inyección de comandos —lo que la mayoría de equipos de seguridad buscan en ataques típicos—. El agente cumplió al pie de la letra con la función para la que fue diseñado por Meta. Esta situación es la que debería mantener en alerta a cualquier líder de operaciones de seguridad: la toma de control no rompió ningún control, sino que se aprovechó de uno ya confiable.
Para evitar este tipo de ataques, cada departamento de seguridad debería evaluar cada camino posible de recuperación de cuentas a través de una auditoría conjunta con el equipo que desarrolló la IA antes de la próxima renovación. En el artículo original se presenta una «Matriz de Auditoría de Autoridad de IA» que mapea todos los cambios de autenticación que puede realizar un agente de soporte, lo que evidenció el incidente de Meta, por qué estos cambios escapan a la detección del SOC y cuáles son los controles necesarios para cerrarlos. 
Un actor autorizado interpretado como tráfico legítimo
Desde la perspectiva de los sistemas de detección, el ataque no generó ninguna señal visible. El agente asociaba un nuevo correo electrónico y luego restablecía la contraseña; los sistemas de gestión de identidades identificaban ambas acciones como realizadas por un actor autorizado, etiquetándolas como transacciones legítimas. No hubo intentos fallidos de inicio de sesión ni picos de autenticación errónea, por lo que no se activaron reglas en herramientas de detección, ni soluciones de prevención o monitoreo. El ataque se desarrolló dentro de los límites de confianza que el sistema daba por seguros. No hubo punto de infiltración porque el propio agente era ese punto de control, y estaba allí por diseño.
La cadena de acciones resultó ser sencilla y casi insultante en su simplicidad. El periodista Brian Krebs documentó cómo los hackers, presuntamente pro-Irán según Telegram el 31 de mayo, activaron una VPN para simular estar en la región de la víctima y así eludir las alertas por ubicación de Instagram. A continuación, solicitaron al asistente de soporte asociar un correo nuevo y enviar el código de verificación, lo que el bot cumplió enviándole dicho código al atacante. En minutos, el proceso de restablecimiento se completó y el propietario legítimo quedó bloqueado del acceso. De acuerdo con Krebs, la técnica falló contra cualquier cuenta que tuviese activada la autenticación multifactor (MFA).
Las cuentas comprometidas no eran objetivos fáciles. Entre ellas estaban la de Sephora, la del jefe principal de la Fuerza Espacial de EE. UU., John Bentivegna, la investigadora Jane Manchun Wong, y una cuenta inactiva de la Casa Blanca de Obama que publicó brevemente una imagen vandalizada, según 404 Media. Meta ha negado algunas de estas comprometidas, calificando las acusaciones de falsas, pero la mayoría siguen confirmadas.
La MFA protegió el acceso, pero el camino de recuperación no
El detalle que marcó la diferencia fue la autenticación multifactor. Cuentas con MFA activado, incluso mediante SMS, sobrevivieron intactas, informó Krebs. Sin embargo, la brecha estaba en el método alternativo de recuperación. Algunos atacantes generaron videos con IA a partir de las fotos públicas de sus víctimas para superar la verificación por selfie que Meta utilizaba, un método aceptado como prueba de identidad por la plataforma, según reportó gHacks. El fallo radica en la puerta de recuperación, no en el proceso de inicio regular controlado por MFA.
Este problema corresponde a una falla arquitectónica en el diseño del sistema: la MFA protege el inicio de sesión regular, pero la vía de recuperación corre paralela y está diseñada para suavizar los controles, ya que facilita el acceso cuando un usuario ha perdido el acceso convencional. Meta colocó un agente con permiso para modificar el estado de autenticación sin una verificación determinista que asegure que una solicitud convincente sea realmente legítima. La autorización no puede residir dentro del modelo de IA, porque un sistema conversacional puede ser engañado para saltarse controles. Debe estar fuera de este, en un filtro que el agente no pueda superar fácilmente. Este tipo de falla, conocida por investigadores de seguridad como el «subalterno confundido» (confused deputy), ocurre cuando un sistema confiable es manipulado para usar sus privilegios en beneficio del atacante.
Este no será el último agente de soporte que entregue cuentas a atacantes malintencionados. Ian Goldin, investigador en Black Lotus Labs de Lumen, explicó a Krebs on Security que los bots de IA son tan vulnerables a la ingeniería social como los agentes humanos que sustituyen, y están igualmente dispuestos a ayudar. «Los chatbots de IA crean una nueva superficie de ataque interesante, y es probable que veamos muchos más de estos ataques», aseguró. Cualquier empresa que integre agentes automáticos para flujos de recuperación o provisión estará exponiendo los mismos riesgos que Meta enfrentó.
Simon Willison, quien acuñó el término inyección de comandos (prompt injection), fue contundente en su blog: «Meta realmente integró su sistema de soporte con un chatbot de IA capaz de agilizar todo el proceso de recuperación de cuenta». Añadió que «esto ni siquiera califica como una inyección de comandos tradicional. No conectes tu bot de soporte para permitir secuestros de cuenta instantáneos.» El atacante no engañó al agente; simplemente hizo la petición, y el agente contaba con el acceso no confiable, el permiso para modificar y la capacidad de ejecución al mismo tiempo.
OWASP había advertido sobre este tipo de riesgo con el nombre de Agencia Excesiva en LLM06 y abuso de identidad y privilegios en ASI03 dentro de su Top 10 para aplicaciones con IA autónoma. La propia Meta lanzó el asistente a todos los usuarios de Facebook e Instagram en marzo, otorgándole poderes para resetear contraseñas y gestionar recuperaciones, prometiendo «soluciones, no solo sugerencias» en cuanto a seguridad y recuperación. Sin embargo, nunca implementó un filtro adecuado para gobernar estos permisos.
Matriz de Auditoría de Autoridad de IA: un recurso indispensable
Los responsables de operaciones de seguridad deben implementar esta matriz para evaluar sus propios agentes antes de la próxima renovación contractural. Cada fila analiza una modificación en la autenticación que el agente puede hacer durante la recuperación, lo que el incidente de Meta reveló, por qué el SOC no lo detecta y cuál es el control necesario para mitigarlo.
| Acción de autenticación | Lección de Meta | Por qué evade detección | Control requerido y responsable |
|---|---|---|---|
| Autenticación de inicio (MFA y factores) | El inicio se protegió. Cuentas con MFA activado resistieron el ataque. La brecha se dio en el camino de recuperación. | MFA protege a ambos actores en el inicio, pero no cubre el acceso paralelo de recuperación. | Implementar MFA como estándar y extender verificaciones elevadas al flujo de recuperación, igual que en el inicio. Un vídeo selfie no es prueba suficiente. Responsable: Gestión de Identidad y Acceso (IAM). |
| Reasignación de correo electrónico | El control falló; se asoció correo electrónico atacante en cuentas de alto perfil. | Los registros IAM interpretan la acción como realizada por un actor autorizado, sin alertar al SOC ni al dueño. | Verificación fuera de banda en la dirección antigua antes de aceptar el cambio, notificación inmediata tras modificar. Responsable: IAM y equipo de plataforma. |
| Restablecimiento de contraseña | Secuestro completo en minutos en casos como la investigadora Jane Manchun Wong. | Se ejecuta fuera del control MFA, ningún factor adicional solicitado ni alerta de seguridad emitida. | Requerir un factor secundario no basado en email para completar restablecimientos. Responsable: IAM. |
| Cambio de método de recuperación | Bloqueo permanente al propietario, sin posibilidad de auto-recuperación, y solo soporte AI disponible. | El método antiguo se sustituye sin avisos ni revisión humana, sin alarma visible. | Solicitar revisión escalada para cualquier cambio, enviar notificación a método anterior y permitir acceso temporal limitado hasta completar verificación. Mantener canal humano de soporte. Responsable: GRC y operaciones IT. |
| Ejecución de acciones en la cuenta | Riesgo de cambios irreversibles sin supervisión humana, como imagen temporal vandalizada en cuenta polémica. | Agente ejecuta cambios en segundos, sin ventana para reversión ni procesos entre medias. | Desacoplar decisión y ejecución: agente solo propone acción, una política externa verifica y aprueba. Responsable: Ingeniería de plataforma y equipo IA. |
| Registro de acciones del agente | Ausencia total de alertas y desconocimiento del alcance antes del parche. | Falta de telemetría estructurada que provea datos específicos para análisis en el SIEM. | Emitir metadatos detallados por cada acción en el SIEM: tipo, autorización, aprobación, resultado, versión de política. Responsable: SOC e ingeniería de detección. |
La solución no consiste en añadir más solicitudes MFA en el inicio de sesión—los afectados que superaron el ataque ya contaban con esta medida—, sino en extraer la autorización del sistema de confianza implícito en la vía de recuperación y ponerla bajo un control externo que no se deje convencer por simples comandos convincentes. El agente debe operar con plena visibilidad para el SOC en cada cambio que realice, y ningún cambio que modifique la propiedad de la cuenta debe confirmarse sin pasar por un filtro independiente al modelo.
Meta acaba de demostrar qué sucede cuando el empleado más confiable de un equipo tiene las llaves de todo y puede ser manipulado indirectamente. El próximo agente con estas características podría estar ya accediendo a tu propiedad intelectual y datos financieros.
