Meta corrigió recientemente una vulnerabilidad de seguridad en su asistente conversacional Meta AI que permitía a ciertos usuarios acceder a mensajes generados en chats ajenos, al modificar manualmente parámetros técnicos en el navegador.
La falla, que ya fue resuelta en enero de 2025, fue reportada a través del programa de recompensas por vulnerabilidades de la empresa por el analista de seguridad Sandeep Hodkasia, fundador de AppSecure.
Fallo en la función de edición de mensajes
El problema residía en la función que permite editar mensajes dentro de los chats de Meta AI. Esta herramienta permite al usuario modificar sus solicitudes originales para obtener nuevas respuestas de texto o imágenes generadas por IA.
Sin embargo, los servidores backend de Meta asignaban un identificador único a cada mensaje y respuesta, el cual podía observarse fácilmente al analizar el tráfico del navegador. Al cambiar ese identificador por otro, era posible acceder al contenido de conversaciones ajenas, incluyendo solicitudes y respuestas generadas por la inteligencia artificial.
Meta fue alertada en diciembre y corrigió en enero
Hodkasia reportó el fallo en diciembre de 2024, y Meta implementó una solución un mes después, evitando que estos identificadores puedan ser manipulados externamente. Como agradecimiento, el investigador recibió una recompensa de 10,000 dólares.
Según el reporte técnico, los servidores de Meta no verificaban adecuadamente si el usuario tenía autorización para acceder al contenido relacionado con un identificador. Además, los identificadores seguían un patrón predecible, facilitando el acceso no autorizado.
No hay evidencia de uso malicioso
Aunque Meta no ha emitido un comunicado oficial, confirmó que el fallo ha sido corregido. De acuerdo con Hodkasia, no existen indicios de que la vulnerabilidad haya sido explotada con fines maliciosos antes de ser solucionada.
El incidente no representó una filtración masiva, pero resalta los riesgos que enfrentan las plataformas que integran inteligencia artificial en servicios masivos, como Facebook o Instagram.
Privacidad y seguridad en el uso de IA
La creciente incorporación de herramientas de IA en aplicaciones de uso cotidiano subraya la necesidad de mayores controles de seguridad y privacidad. Casos como este evidencian cómo una función aparentemente menor, como editar un mensaje, puede generar riesgos si no está debidamente protegida.
Asimismo, el hecho subraya el valor de los programas de detección responsable de fallos (“bug bounty”), que permiten a las empresas anticiparse a posibles amenazas y evitar filtraciones antes de que puedan ser explotadas.
Información relacionada
Descubre más desde
Suscríbete y recibe las últimas entradas en tu correo electrónico.