Incidentes Asociados
Meta ha corregido una importante falla de seguridad en su plataforma de chatbots con IA que podría haber expuesto a hackers los chats privados de los usuarios y el contenido generado por IA. El problema fue detectado por el hacker ético Sandeep Hodkasia, fundador de la empresa de seguridad AppSecure. Hodkasia reportó la vulnerabilidad a Meta el 26 de diciembre de 2024 y recibió una recompensa de 10 000 dólares (aproximadamente 850 000 rupias) por revelar el error de forma privada.
Según TechCrunch, Hodkasia descubrió un error en la plataforma de IA de Meta relacionado con la gestión de la función de edición de mensajes. Cuando los usuarios interactúan con la IA de Meta, pueden editar o regenerar sus mensajes anteriores. Los servidores de Meta asignan un número de identificación (ID) único a cada mensaje y a su respuesta generada por IA. Hodkasia descubrió que estos ID no solo eran visibles a través de las herramientas del navegador, sino que también eran fácilmente adivinables.
Hodkasia explicó que, al cambiar manualmente el ID en el panel de actividad de red de su navegador, pudo acceder a las notificaciones privadas de otros usuarios y a las respuestas generadas por la IA. El verdadero problema, destacó, residía en que el sistema de Meta no verificaba si la persona que solicitaba ver el contenido era realmente quien lo había creado. Esto significaba que cualquier hacker podría haber escrito un script simple para revisar automáticamente los ID y recopilar grandes cantidades de contenido confidencial de otros usuarios sin su autorización.
Hodkasia reveló que esta simplicidad de la estructura del ID facilitaba peligrosamente que cualquier persona con conocimientos técnicos básicos explotara la falla. La vulnerabilidad básicamente eludía todas las comprobaciones de acceso específicas del usuario, exponiendo las interacciones privadas de la IA a actores maliciosos.
Tras el descubrimiento de Hodkasia, Meta abordó el problema implementando una solución el 24 de enero de 2025 y confirmó a TechCrunch que su investigación interna no encontró evidencia de que el error hubiera sido mal utilizado o explotado.
Si bien el problema se ha solucionado, este incidente también ha generado inquietudes sobre la seguridad y la privacidad de los chatbots de IA, especialmente a medida que las empresas se apresuran a desarrollar y lanzar productos basados en IA para competir en este sector. Meta también lanzó su asistente de IA y su aplicación dedicada a principios de este año para desafiar a rivales como ChatGPT. Sin embargo, en los últimos meses, la plataforma de IA ha sido criticada por varios otros errores relacionados con la privacidad. Algunos usuarios informaron previamente que sus conversaciones de IA eran visibles públicamente, a pesar de asumir que eran privadas.
Muchos usuarios informaron incidentes en los que sus propias publicaciones o las conversaciones privadas de otros aparecieron en el feed público Discovery de Meta AI. Esto generó serias preocupaciones sobre la privacidad. Si bien Meta dice que los chats son privados de manera predeterminada y solo se vuelven públicos si los usuarios los comparten explícitamente, los usuarios notaron que las configuraciones confusas de la aplicación y las advertencias vagas han dejado a muchas personas sin ser conscientes del hecho de que sus fotos personales o mensajes enviados a Meta AI podrían terminar siendo visibles para otros.