Hackers usaron la IA de Meta para secuestrar cuentas de Instagram

Tu cuenta de Instagram puede ser robada sin que nadie entre a los servidores de Meta o hackee tu contraseña. Los criminales simplemente usaron la IA de soporte de Meta para tomar el control y la vulnerabilidad ya fue parcheada, pero miles de cuentas ya estuvieron expuestas.

Bastó con que el hacker le pidiera al chatbot que cambiara el correo asociado a la cuenta víctima. La IA aceptó la solicitud, envió el código de verificación al correo del atacante y permitió el restablecimiento de contraseña sin validación real. El dueño original quedaba bloqueado fuera de su propio perfil mientras el criminal se hacía con el control.

Cómo lograron hackers usar la IA de Meta para robar cuentas de Instagram

El ataque no requirió malware complejo ni exploits sofisticados. El fallo estaba en la lógica del chatbot de soporte, no en los servidores internos de Meta.

Los atacantes iniciaron una conversación con el asistente de IA y pidieron vincular la cuenta a un nuevo correo electrónico. El bot aceptó dentro del flujo normal de recuperación y envió el código de verificación al nuevo correo. Con ese código, el hacker pudo restablecer la contraseña y tomar control total.

En algunos casos, los criminales usaron VPN para ocultar su ubicación y hacer parecer que la solicitud venía de cerca de la víctima. Esto servía para evitar alertas automáticas de seguridad. El punto clave es que el sistema automatizado confió demasiado rápido y eso abrió la puerta a cualquiera que supiera cómo pedirle el cambio.

El truco que permitió cambiar el correo sin que nadie lo notara

La vulnerabilidad permitía que el asistente de Meta actualizara el correo sin verificar suficientemente si quien lo pedía era realmente el dueño de la cuenta. Una vez actualizado, el código de recuperación llegaba al atacante y no al usuario original.

Solo bastó con pedirle al chatbot que hiciera el cambio dentro del flujo de recuperación. No hubo necesidad de claves robadas ni de acceder al dispositivo de la víctima.

Cuando una IA pasa de responder preguntas a ejecutar acciones sobre cuentas reales el estándar de seguridad tiene que ser mucho más estricto. El chatbot no solo puede ser útil sino que también puede convertirse en una vía de acceso para cualquiera que sepa usarlo.

Qué hizo Meta después y qué significa para tu cuenta

Meta confirmó que el problema ya fue corregido y que está asegurando las cuentas afectadas. La compañía dijo que no hubo brecha en sus sistemas internos y que las cuentas de Instagram siguen seguras.

El fallo permitió abusar del mecanismo de restablecimiento de credenciales sin abrir el backend de Meta. La automatización sin suficientes barreras puede salir muy cara cuando un chatbot actúa como portero, soporte y mensajero al mismo tiempo.

Este caso confirma que la autenticación en dos pasos sigue siendo la defensa más útil. Las cuentas con medidas adicionales de seguridad no fueron tan fáciles de comprometer. La seguridad depende de cuántas capas tiene tu cuenta antes de quedar expuesta.

Qué puedes hacer tú para protegerte

Activa la autenticación en dos pasos en Instagram y en todas tus cuentas importantes. Revisa regularmente los correos asociados a tus perfiles y desconfía de mensajes que piden datos repentinos sin razón clara.

Meta tendrá que ajustar controles porque cuando un chatbot puede cambiar correos y restablecer contraseñas con una simple conversación el riesgo se vuelve demasiado amplio. La misma herramienta que resuelve tus problemas también puede ser la que los cree si no tiene los frenos bien puestos.

Sigue leyendo:
• Filtradas 184 millones de contraseñas: ¿estás en la lista de los usuarios afectados?
• ¿Qué pasa con tu información personal después de un hackeo?
• Hackers están utilizando un mecanismo silencioso para poder robar tus contraseñas y dinero