Incidentes Asociados
Meta ha corregido un error de seguridad que permitía a los usuarios del chatbot Meta AI acceder y ver las indicaciones privadas y las respuestas generadas por IA de otros usuarios.
Sandeep Hodkasia, fundador de la empresa de pruebas de seguridad AppSecure, declaró en exclusiva a TechCrunch que Meta le pagó 10.000 dólares como recompensa por la divulgación privada del error que reportó el 26 de diciembre de 2024.
Meta implementó una corrección el 24 de enero de 2025, según Hodkasia, y no encontró evidencia de que el error se hubiera explotado maliciosamente.
Hodkasia declaró a TechCrunch que identificó el error tras examinar cómo Meta AI permite a sus usuarios registrados editar sus indicaciones de IA para regenerar texto e imágenes. Descubrió que, cuando un usuario edita su indicación, los servidores back-end de Meta asignan a la indicación y a su respuesta generada por IA un número único. Al analizar el tráfico de red en su navegador mientras editaba un mensaje de IA, Hodkasia descubrió que podía cambiar ese número único y que los servidores de Meta devolverían un mensaje y una respuesta generada por IA de otra persona.
El error implicaba que los servidores de Meta no verificaban adecuadamente que el usuario que solicitaba el mensaje y su respuesta estuviera autorizado para verlo. Hodkasia afirmó que los números de los mensajes generados por los servidores de Meta eran "fácilmente adivinables", lo que podría permitir que un agente malicioso extrajera información de los mensajes originales de los usuarios cambiándolos rápidamente con herramientas automatizadas.
Al ser contactada por TechCrunch, Meta confirmó que había corregido el error en enero y que la compañía "no encontró evidencia de abuso y recompensó al investigador", según declaró a TechCrunch el portavoz de Meta, Ryan Daniels.
La noticia del error llega en un momento en que los gigantes tecnológicos se apresuran a lanzar y perfeccionar sus productos de IA, a pesar de los numerosos riesgos de seguridad y privacidad asociados a su uso.
La aplicación independiente de Meta AI, que se estrenó a principios de este año para competir con aplicaciones rivales como ChatGPT, tuvo un comienzo difícil después de que algunos usuarios inadvertidamente compartieron públicamente lo que pensaron que eran conversaciones privadas con el chatbot.