El nuevo “exploit” de Instagram es el más ridículo que he visto

Exploit e impacto inmediato

  • Los atacantes podían convencer al agente de soporte de IA de Instagram para que enviara códigos de recuperación de cuenta a un correo electrónico arbitrario que ellos controlaban, aparentemente tras fingir estar en la región correcta (por ejemplo, mediante VPN).
  • Una vez cambiado el correo, podían restablecer la contraseña, revocar sesiones existentes y bloquear al propietario original.
  • Se apuntó a nombres de usuario valiosos y cortos; algunos comentaristas informan haber sido afectados, con éxito desigual al intentar recuperar el acceso.
  • En el hilo se cita al menos una demostración en video y múltiples informes independientes; parte del escepticismo inicial da paso a “esto realmente ocurrió”.

2FA y recuperación: el verdadero punto débil

  • Muchos sostienen que los flujos de soporte y recuperación siempre han sido el punto blando, incluso con agentes humanos; la ingeniería social del soporte ha eludido durante mucho tiempo 2FA (SIM swaps, secuestro de registradores, etc.).
  • Algunos dicen que este exploit eludió 2FA por completo; otros responden que falló en cuentas con cualquier MFA y que se usaron servicios separados y de pago para eludir 2FA en las cuentas de mayor valor. El comportamiento exacto no está claro.
  • Frustración más amplia porque 2FA puede ser eliminado o anulado por soporte de bajo nivel (humano o IA), socavando su valor de seguridad.

IA vs “solo mal diseño”

  • Un bando: esto es principalmente un diseño de recuperación de cuentas catastróficamente malo; la IA solo automatizó lo que un agente de soporte crédulo podría hacer.
  • Otro bando: la IA es central — es más sugestionable, escala los ataques, no tiene juicio real y se le dieron herramientas hechas para humanos entrenados sin nuevas barreras.
  • Varios ven esto como IA “vibe-coded”: herramientas de alto privilegio conectadas a un LLM con modelado de amenazas mínimo o pruebas integrales casi inexistentes.

Crítica a la cultura de seguridad de Meta

  • Fuerte crítica de que una empresa de un billón de dólares haya desplegado un flujo de restablecimiento casi de “cero autenticación” en absoluto, y de que seguridad ni siquiera haya sido consultada o haya sido anulada.
  • Algunos señalan que históricamente la seguridad de Instagram tenía flujos sofisticados, por lo que este retroceso resulta especialmente impactante.
  • Otros mencionan que el giro más amplio de Meta hacia moderación y soporte con IA ya ha causado muchas expulsiones injustas y decisiones opacas e imposibles de corregir.

Alternativas y mitigaciones sugeridas

  • Ideas propuestas: flujos más estrictos para cuentas de alto valor; modo opcional de “sin recuperación sin 2FA/passkey”; largas demoras con notificaciones por múltiples canales; comprobaciones de identidad físicas o notarizadas; contactos de confianza; mejor uso de identificaciones gubernamentales o identidad digital para cuentas verificadas.
  • Varios comentaristas sostienen que cualquier agente de IA debe tratarse como completamente no confiable, con herramientas de denegación por defecto, ámbitos de acceso muy limitados y pruebas robustas similares a las de las API públicas.