— Agencias 03/06/2026
Una falla en el sistema automatizado de soporte de Meta permitió acceder a cuentas de Instagram mediante un proceso que requería pocas herramientas.
Una vulnerabilidad en el chatbot de soporte impulsado por Meta AI permitió que atacantes obtuvieran acceso a cuentas de Instagram utilizando un iPhone, una VPN y el sistema de recuperación de perfiles. El incidente afectó a usuarios comunes y a cuentas de alto perfil antes de que Meta corrigiera la falla.
Cómo funcionaba la vulnerabilidad
El método aprovechaba el proceso de recuperación de cuentas integrado en la plataforma. Según la información difundida en redes sociales, los atacantes utilizaban una conexión VPN para simular la ubicación de la víctima y posteriormente interactuaban con el asistente automatizado de Meta.
El sistema permitía solicitar la incorporación de una nueva dirección de correo electrónico a una cuenta objetivo. Posteriormente, el chatbot enviaba un código de verificación al correo proporcionado por el solicitante, sin realizar comprobaciones suficientes sobre su identidad.
Una vez completado el proceso, el atacante podía restablecer la contraseña y obtener acceso a la cuenta comprometida.
Cuentas de alto perfil estuvieron entre las afectadas
Entre los perfiles afectados figuraron la cuenta archivada de la Casa Blanca durante la administración Obama y la del sargento mayor John Bentivegna, integrante de la Space Force de Estados Unidos.
También se reportaron incidentes relacionados con cuentas que poseen nombres de usuario especialmente valiosos, los cuales suelen tener demanda dentro de mercados ilegales dedicados a la compraventa de perfiles digitales.
De acuerdo con reportes citados en la investigación, algunos grupos especializados aprovecharon la vulnerabilidad para obtener acceso a cuentas y comercializarlas posteriormente.
La autenticación en dos pasos fue clave
Los reportes señalan que la principal barrera de protección frente al exploit fue la autenticación en dos pasos, una herramienta que añade una capa adicional de seguridad al proceso de inicio de sesión.
Sin embargo, algunos casos mostraron que ciertos mecanismos de verificación podían ser evitados o resultar insuficientes cuando la función no estaba correctamente configurada o permanecía desactivada.
Además, el uso de VPN permitía a los atacantes eludir algunas medidas de detección basadas en ubicación geográfica y reconocimiento de dispositivos.
Meta corrige la falla de seguridad
Tras la difusión pública del incidente, Meta confirmó que la vulnerabilidad había sido solucionada. La compañía cerró la vía utilizada por los atacantes y anunció acciones para reforzar la protección de las cuentas afectadas.
No obstante, varios usuarios reportaron dificultades para recuperar el acceso a sus perfiles debido a la dependencia de sistemas automatizados de soporte, que en algunos casos no ofrecían atención directa por parte de personal humano.
El desafío de los sistemas automatizados
El caso puso nuevamente sobre la mesa los desafíos que enfrentan las plataformas tecnológicas al incorporar herramientas basadas en inteligencia artificial para tareas sensibles como la recuperación de cuentas.
Especialistas señalan que los sistemas automatizados requieren mecanismos sólidos de verificación de identidad para evitar que procesos diseñados para ayudar a los usuarios puedan convertirse en puertas de acceso para actividades maliciosas.
El incidente también evidenció la importancia de reforzar medidas de seguridad como la autenticación en dos factores y mantener actualizados los métodos de protección de cuentas digitales.
Instala la nueva aplicación de El Tiempo MX