Meta Soluciona una Vulnerabilidad Crítica en Meta AI Tras Alerta de un Investigador Externo

La protección de la privacidad y la seguridad digital es igual de importante que la rapidez con que avanzan las tecnologías de inteligencia artificial. Meta, uno de los gigantes tecnológicos, vivió recientemente un episodio que ha puesto a prueba su compromiso en este terreno.

Si utilizas el chatbot Meta AI, te interesa saber que existía una vulnerabilidad que permitía acceder a los mensajes privados y respuestas generadas por la IA de otros usuarios, pero ya ha sido corregida. Vas a poder descubrir a continuación cómo se originó este fallo, quién lo reportó y los retos que afrontan los chatbots populares cuando hablamos de confidencialidad y protección de datos.

La rapidez con la que Meta solucionó el problema aporta tranquilidad, aunque este tipo de incidentes levanta dudas sobre los riesgos asociados a compartir contenidos privados con la inteligencia artificial.

Vulnerabilidad permitía ver prompts y respuestas de otros usuarios en Meta AI

¿Te imaginas abrir Meta AI para editar uno de tus prompts y, sin querer, visualizar los mensajes de otra persona? Esto era posible hasta hace poco, debido a un fallo técnico en cómo el chatbot Meta AI gestionaba los datos privados. La versión corregida ya está disponible, pero el error permitía a cualquier usuario registrado acceder tanto al prompt (la pregunta o petición enviada al bot) como a la respuesta generada por inteligencia artificial de cualquier otro usuario.

El problema estaba en la manera en que los servidores asignaban y gestionaban los identificadores únicos para cada conversación. Al editar un prompt, Meta AI daba tanto a la pregunta inicial como a su respuesta un número único. Pero esos números eran "fácilmente adivinables". Cambiando ese dato en el tráfico de red, cualquier persona con habilidades técnicas podía acceder a mensajes ajenos.

Cómo se descubrió la brecha de seguridad en Meta AI: el trabajo de un investigador

El responsable fue Sandeep Hodkasia, fundador de la empresa AppSecure, que se dedica a examinar la seguridad de servicios online. Hodkasia alertó a Meta enviando la información privada el 26 de diciembre de 2024 y fue recompensado con 10.000 dólares.

El experto detectó la vulnerabilidad al analizar cómo los usuarios editan prompts para regenerar textos e imágenes con la IA de Meta. Al fijarse en el tráfico que producía el navegador durante el proceso de edición, descubrió que bastaba con modificar el número único asignado al prompt y la respuesta para recibir contenidos de otros usuarios. El servidor, simplemente, no comprobaba si quien hacía la petición era su “dueño original”.

Detalles técnicos: por qué era tan sencillo explotar la vulnerabilidad

• Los identificadores de prompts y respuestas eran asignados por los servidores de Meta.
• Estos números resultaban predecibles; una persona podía generar peticiones cambiando solo un dígito.
• No se verificaba si el usuario tenía permiso real sobre el contenido solicitado.

¿La consecuencia? Un usuario avanzado podía automatizar el proceso y obtener mensajes e imágenes de la IA generados por otros clientes en línea, sin autorización. Y todo, mediante simples modificaciones en la red de su navegador.

Reacción de Meta y solución a la vulnerabilidad en Meta AI

Meta implementó la corrección definitiva el 24 de enero de 2025. Según la compañía, no existen pruebas de que el error se aprovechara de forma maliciosa. Vas a poder confiar en que tus nuevas conversaciones en Meta AI están protegidas tras la solución. Sandeep Hodkasia, como buen hacker ético, actuó rápidamente y por canales privados para evitar que el error se hiciese público antes de resolverlo.

Meta confirmó a TechCrunch que ya no existe posibilidad de explotar este fallo, reiterando que el investigador recibió reconocimiento tanto económico como profesional. Tras descubrir que los números asignados por los servidores eran predecibles y no estaban realmente limitando el acceso, la compañía reforzó la autenticación y autorización en todos los puntos posibles.

Lecciones de la vulnerabilidad: privacidad y seguridad en chatbots de inteligencia artificial

¿Qué puedes aprender de este episodio si usas chatbots como Meta AI o similares? En primer lugar, que la privacidad no está garantizada por defecto en los servicios de IA más recientes. A veces, una corrección llega tras detectar vulnerabilidades que ya han estado presentes en la plataforma durante semanas.

Este caso llega en medio de una carrera de lanzamientos y mejoras entre grandes tecnológicas que buscan ofrecer los asistentes de inteligencia artificial más completos, pero puede que no siempre pongan la seguridad como máxima prioridad. El ejemplo de Meta AI demuestra que las prisas al innovar pueden dejar cabos sueltos. Con cada incidente como este, los sistemas tienden a robustecerse.

Errores iniciales de Meta AI al poner en marcha su aplicación independiente

No es la primera vez que la app independiente Meta AI atrae críticas relacionadas con la privacidad. Durante sus primeras semanas, algunos usuarios compartieron lo que creían que eran conversaciones estrictamente privadas con el chatbot. Esto generó inquietud y avisos sobre la necesidad de aclarar mejor a los usuarios cómo se usan sus datos.

Si lo comparamos con competidores como ChatGPT, la presión por ir más rápido a menudo se traduce en descuidos técnicos o en menores controles de acceso. Meta ha corregido ya esta vulnerabilidad y dice reforzar sus procesos internos de seguridad. Si eres usuario, acostúmbrate a comprobar los ajustes y a utilizar siempre los asistentes en su versión más reciente.

Claves para proteger tus datos al usar servicios de inteligencia artificial

• Actualiza siempre la aplicación o el servicio web: Así accedes a las últimas correcciones.
• Evita compartir información sensible en formatos abiertos o fácilmente reconocibles por un identificador.
• Confirma que existe autenticación apropiada para cada tipo de dato privado que subes o generas.

Las grandes compañías tecnológicas como Meta mejoran sus sistemas de seguridad con el tiempo, pero los fallos puntuales son inevitables. Si alguna vez una plataforma te ofrece la posibilidad de editar o regenerar tus mensajes, conviene saber qué datos quedan accesibles realmente y cómo los protege la compañía.

En definitiva, Meta ha corregido una vulnerabilidad crítica en su chatbot Meta AI que permitía acceder a prompts privados y respuestas generadas por inteligencia artificial de otros usuarios. El fallo, descubierto por Sandeep Hodkasia, demostró la importancia de comprobar no solo los números asignados a cada conversación, sino también los mecanismos de autenticación y autorización en plataformas de IA.

Aunque Meta solucionó el error antes de que fuera explotado maliciosamente, la noticia subraya la necesidad de ser cauteloso y de exigir siempre estándares altos de seguridad y privacidad cuando usas asistentes inteligentes.