El nuevo “exploit” de Instagram es el más ridículo que he visto
Exploit e impacto inmediato
- Los atacantes podían convencer al agente de soporte de IA de Instagram para que enviara códigos de recuperación de cuenta a un correo electrónico arbitrario que ellos controlaban, aparentemente tras fingir estar en la región correcta (por ejemplo, mediante VPN).
- Una vez cambiado el correo, podían restablecer la contraseña, revocar sesiones existentes y bloquear al propietario original.
- Se apuntó a nombres de usuario valiosos y cortos; algunos comentaristas informan haber sido afectados, con éxito desigual al intentar recuperar el acceso.
- En el hilo se cita al menos una demostración en video y múltiples informes independientes; parte del escepticismo inicial da paso a “esto realmente ocurrió”.
2FA y recuperación: el verdadero punto débil
- Muchos sostienen que los flujos de soporte y recuperación siempre han sido el punto blando, incluso con agentes humanos; la ingeniería social del soporte ha eludido durante mucho tiempo 2FA (SIM swaps, secuestro de registradores, etc.).
- Algunos dicen que este exploit eludió 2FA por completo; otros responden que falló en cuentas con cualquier MFA y que se usaron servicios separados y de pago para eludir 2FA en las cuentas de mayor valor. El comportamiento exacto no está claro.
- Frustración más amplia porque 2FA puede ser eliminado o anulado por soporte de bajo nivel (humano o IA), socavando su valor de seguridad.
IA vs “solo mal diseño”
- Un bando: esto es principalmente un diseño de recuperación de cuentas catastróficamente malo; la IA solo automatizó lo que un agente de soporte crédulo podría hacer.
- Otro bando: la IA sí es central — es más sugestionable, escala los ataques, no tiene juicio real y se le dieron herramientas hechas para humanos entrenados sin nuevas barreras.
- Varios ven esto como IA “vibe-coded”: herramientas de alto privilegio conectadas a un LLM con modelado de amenazas mínimo o pruebas integrales casi inexistentes.
Crítica a la cultura de seguridad de Meta
- Fuerte crítica de que una empresa de un billón de dólares haya desplegado un flujo de restablecimiento casi de “cero autenticación” en absoluto, y de que seguridad ni siquiera haya sido consultada o haya sido anulada.
- Algunos señalan que históricamente la seguridad de Instagram tenía flujos sofisticados, por lo que este retroceso resulta especialmente impactante.
- Otros mencionan que el giro más amplio de Meta hacia moderación y soporte con IA ya ha causado muchas expulsiones injustas y decisiones opacas e imposibles de corregir.
Alternativas y mitigaciones sugeridas
- Ideas propuestas: flujos más estrictos para cuentas de alto valor; modo opcional de “sin recuperación sin 2FA/passkey”; largas demoras con notificaciones por múltiples canales; comprobaciones de identidad físicas o notarizadas; contactos de confianza; mejor uso de identificaciones gubernamentales o identidad digital para cuentas verificadas.
- Varios comentaristas sostienen que cualquier agente de IA debe tratarse como completamente no confiable, con herramientas de denegación por defecto, ámbitos de acceso muy limitados y pruebas robustas similares a las de las API públicas.