Usan la propia IA de Meta para secuestrar cuentas de Instagram sin robar contraseñas

Una vulnerabilidad en el sistema de recuperación de cuentas de Instagram gestionado por inteligencia artificial, propiedad de Meta, ha abierto la puerta al robo de cuentas, especialmente aquellas consideradas de alto valor en el mercado negro digital, como las de los influencers y empresas.

Krebs On Security, empresa de ciberseguridad, reveló cómo los delincuentes informáticos están usando el bot de soporte de Meta para acceder a los perfiles, sin tener que robar la contraseña de los usuarios.

Cómo usan la IA de Meta para robar cuentas de Instagram

El método utilizado por los atacantes no requiere técnicas tradicionales como phishing o malware. El objetivo ya no son las contraseñas ni el acceso físico a los correos electrónicos de las víctimas: el blanco es la propia IA de Meta, diseñada para asistir a usuarios bloqueados o con problemas de acceso.

El proceso inicia cuando el hacker se comunica con el chatbot de soporte. Mediante ingeniería social conversacional, el atacante convence al asistente de que es el legítimo propietario de la cuenta. La IA, sin mecanismos sólidos de autenticación o límites de peticiones, termina procesando la solicitud como válida.

En este punto, el sistema permite al atacante vincular una dirección de correo controlada por él, desde donde puede solicitar el restablecimiento de contraseña.

Gracias a la ausencia de validación multifactor (2FA) y a controles insuficientes en el flujo lógico del bot, el código de recuperación es enviado directamente al correo fraudulento. Así, el criminal obtiene acceso completo antes de que el usuario original detecte la intrusión.

Este ataque no explota una brecha en los servidores de Meta, sino que aprovecha una falla en la lógica de la inteligencia artificial encargada del soporte. El sistema no verifica de forma robusta la identidad antes de ejecutar acciones críticas, como cambiar correos asociados o restablecer contraseñas.

Qué tipo de información y cuentas están en riesgo

Las cuentas más codiciadas por los atacantes suelen ser aquellas con nombres cortos y de alto perfil, muchas veces utilizadas por influencers o marcas reconocidas. Investigadores de seguridad como ZachXBT y Dark Web Informer han detectado la venta y el intercambio de estos perfiles en canales privados de Telegram, donde los valores combinados de algunas cuentas superan el millón de dólares.

La información comprometida no se limita al acceso al perfil: los hackers pueden recuperar mensajes privados, acceder a conversaciones, modificar configuraciones y, en algunos casos, utilizar la cuenta para fraudes adicionales.

Además, si la cuenta está vinculada a campañas de marketing o a la gestión de comunidades grandes, el impacto puede ser inmediato y severo.

Los riesgos se agravan para las startups y negocios que dependen de Instagram como canal principal de ventas, soporte o comunicación. Una intrusión puede derivar en la pérdida temporal o definitiva del acceso a la audiencia, interrupción de campañas, daño reputacional y robo de datos sensibles de clientes.

El peligro de la automatización sin controles

Este incidente pone de relieve los peligros de delegar procesos sensibles a sistemas de IA sin controles adicionales. La velocidad con la que la IA de Meta procesaba solicitudes, sin validar de forma estricta la identidad, permitió que los atacantes probaran múltiples variaciones de prompts hasta hallar la forma de burlar los filtros.

El exploit, reportado y analizado por especialistas de ciberseguridad europeos y medios como Cyber Security News, evidencia un patrón: la IA tiende a priorizar la resolución rápida por sobre la verificación rigurosa. Este sesgo de diseño puede ser explotado fácilmente por quienes buscan obtener acceso no autorizado.

No existen cifras oficiales sobre la cantidad de cuentas afectadas. Meta ha reconocido la existencia del fallo, que fue parcheado a finales de mayo de 2026, pero se abstuvo de publicar un número concreto de víctimas.

Cómo protegerse ante esta modalidad de ataque

Las cuentas que tenían activada la autenticación en dos pasos (2FA) con app no fueron vulneradas durante el ataque. Algunos pasos fundamentales para reducir el riesgo incluyen:

• Activar 2FA utilizando aplicaciones como Google Authenticator o Authy, evitando el uso exclusivo de SMS.
• Utilizar un correo privado, no expuesto públicamente, como principal para la cuenta de Instagram.
• No reutilizar contraseñas y apoyarse en gestores como 1Password o Bitwarden.
• Revisar de forma periódica las sesiones activas y desconectar dispositivos desconocidos desde la configuración de seguridad.
• Guardar códigos de respaldo en un lugar seguro para recuperación de emergencia.
• No delegar procesos de recuperación críticos en chatbots; toda modificación sensible debe requerir validación humana.