En este punto, el sistema permite al atacante vincular una dirección de correo controlada por él, desde donde puede solicitar el restablecimiento de contraseña.
Gracias a la ausencia de validación multifactor (2FA) y a controles insuficientes en el flujo lógico del bot, el código de recuperación es enviado directamente al correo fraudulento. Así, el criminal obtiene acceso completo antes de que el usuario original detecte la intrusión.
Este ataque no explota una brecha en los servidores de Meta, sino que aprovecha una falla en la lógica de la inteligencia artificial encargada del soporte. El sistema no verifica de forma robusta la identidad antes de ejecutar acciones críticas, como cambiar correos asociados o restablecer contraseñas.
Qué tipo de información y cuentas están en riesgo
Las cuentas más codiciadas por los atacantes suelen ser aquellas con nombres cortos y de alto perfil, muchas veces utilizadas por influencers o marcas reconocidas. Investigadores de seguridad como ZachXBT y Dark Web Informer han detectado la venta y el intercambio de estos perfiles en canales privados de Telegram, donde los valores combinados de algunas cuentas superan el millón de dólares.
La información comprometida no se limita al acceso al perfil: los hackers pueden recuperar mensajes privados, acceder a conversaciones, modificar configuraciones y, en algunos casos, utilizar la cuenta para fraudes adicionales.
Además, si la cuenta está vinculada a campañas de marketing o a la gestión de comunidades grandes, el impacto puede ser inmediato y severo.
Los riesgos se agravan para las startups y negocios que dependen de Instagram como canal principal de ventas, soporte o comunicación. Una intrusión puede derivar en la pérdida temporal o definitiva del acceso a la audiencia, interrupción de campañas, daño reputacional y robo de datos sensibles de clientes.
El peligro de la automatización sin controles
Este incidente pone de relieve los peligros de delegar procesos sensibles a sistemas de IA sin controles adicionales. La velocidad con la que la IA de Meta procesaba solicitudes, sin validar de forma estricta la identidad, permitió que los atacantes probaran múltiples variaciones de prompts hasta hallar la forma de burlar los filtros.
El exploit, reportado y analizado por especialistas de ciberseguridad europeos y medios como Cyber Security News, evidencia un patrón: la IA tiende a priorizar la resolución rápida por sobre la verificación rigurosa. Este sesgo de diseño puede ser explotado fácilmente por quienes buscan obtener acceso no autorizado.
No existen cifras oficiales sobre la cantidad de cuentas afectadas. Meta ha reconocido la existencia del fallo, que fue parcheado a finales de mayo de 2026, pero se abstuvo de publicar un número concreto de víctimas.
Cómo protegerse ante esta modalidad de ataque
Las cuentas que tenían activada la autenticación en dos pasos (2FA) con app no fueron vulneradas durante el ataque. Algunos pasos fundamentales para reducir el riesgo incluyen:
Activar 2FA utilizando aplicaciones como Google Authenticator o Authy, evitando el uso exclusivo de SMS.
Utilizar un correo privado, no expuesto públicamente, como principal para la cuenta de Instagram.
No reutilizar contraseñas y apoyarse en gestores como 1Password o Bitwarden.
Revisar de forma periódica las sesiones activas y desconectar dispositivos desconocidos desde la configuración de seguridad.
Guardar códigos de respaldo en un lugar seguro para recuperación de emergencia.
No delegar procesos de recuperación críticos en chatbots; toda modificación sensible debe requerir validación humana.
0 Comentarios