Tanto ZachXBT como Dark Web Informer también confirmaron cómo los piratas informáticos atacaron y revendieron cuentas de Instagram de gran valor, incluidas las cuentas taquigráficas @hey y @jowo con una “valoración combinada del mercado gris estimada en más de 1 millón de dólares”, según Gurú de la ciberseguridad. Esas cuentas pueden ser valiosas incluso si los piratas informáticos las retienen durante sólo unos días debido a “influencia de la marca, reventa o suplantación”, informó el blog de seguridad.
Amplios agujeros de seguridad
CyberSec Guru también describió el exploit como un exploit clásico. El problema del “diputado confundido”. de la seguridad informática, donde se engaña a programas con permisos elevados para que abusen de esos permisos en nombre de terceros menos privilegiados. Pero en este caso, el “suplente” es un gran modelo de lenguaje con “modelos de respuesta probabilísticos que se pueden manejar con palabras” y no un “programa determinista” con “requisitos codificados que hay que pasar por código”.
Tenga en cuenta que los usuarios tienen una solución de seguridad sencilla, incluso con chatbots explotados con tecnología Meta AI. Los piratas informáticos informaron de su exploit fallido contra cualquier cuenta que tuviera habilitada la autenticación multifactor (MFA), incluida “la forma menos robusta de MFA que ofrece Instagram” en forma de un código de un solo uso enviado por SMS, según KrebsOnSecurity.
Pero el exploit aún resalta los riesgos más amplios de que las empresas de tecnología y otras organizaciones se apresuren a implementar agentes de IA con permisos más altos que les permitan cambiar, crear o eliminar datos críticos. Meta lo ha lanzado Asistente de soporte de Meta AI en marzo de 2026 con la promesa de que pueden “brindar soporte confiable las 24 horas del día, los 7 días de la semana para casi cualquier problema de soporte en cualquier momento”.
La arquitectura “mínima” requerida para hacer esto de manera más segura, según CyberSec Guru, incluiría “verificación fuera de banda antes de cualquier modificación de la cuenta… limitación del flujo de reinicio iniciada por IA adaptada a las señales de riesgo de la cuenta, registro de acciones con detección de anomalías para modificaciones inusuales de la cuenta basadas en IA y puertas deterministas estrictas”.
