seguidor.gratis
ES

Menu

Navegacao principal
ES
La falla en el chatbot de Meta que permitía secuestrar cuentas de Instagram Instagram y Seguridad

La falla en el chatbot de Meta que permitía secuestrar cuentas de Instagram

Un fallo crítico en el asistente de IA de soporte de Meta expuso cuentas de Instagram a secuestros silenciosos, y el perfil de la Casa Blanca de la era Obama estuvo entre los comprometidos.

La falla en el chatbot de soporte de Meta permitía que cualquier persona tomara el control de una cuenta de Instagram sin necesitar la contraseña original ni el correo electrónico de la víctima. El ataque usaba una VPN para simular la ubicación del objetivo y solicitaba al bot añadir un nuevo correo, lo que liberaba el restablecimiento de contraseña. Meta confirmó que el problema fue corregido.

Un fallo grave en el chatbot de soporte de Meta permitió que atacantes tomaran el control de cuentas de Instagram sin necesitar la contraseña original, sin acceso al correo registrado y sin ninguna interacción del dueño de la cuenta. El problema fue reportado por TechCrunch en junio de 2026 y Meta confirmó su corrección, pero no reveló cuántos usuarios se vieron afectados.

Qué ocurrió

El asistente de IA de soporte de Meta tenía una brecha que permitía solicitar la incorporación de un nuevo correo electrónico a cualquier cuenta de Instagram. El chatbot trataba al interlocutor como el dueño de la cuenta sin verificar su identidad.

El resultado: bastaba una conversación con el bot para obtener acceso completo a cualquier perfil sin autenticación de dos factores activada.

Cómo funcionaba el ataque

El proceso no requería conocimientos técnicos avanzados:

  1. El atacante usaba una VPN para simular que estaba en la ciudad o región de la víctima, evitando alertas automáticas de acceso sospechoso.
  2. A continuación, abría una conversación con el Meta AI Support Assistant.
  3. Solicitaba al chatbot añadir un nuevo correo electrónico a la cuenta objetivo.
  4. El bot enviaba un código de verificación al correo proporcionado por el atacante, no al correo original de la víctima.
  5. El atacante le comunicaba ese código al chatbot.
  6. El chatbot mostraba entonces un botón para "Restablecer Contraseña".
  7. El atacante creaba una nueva contraseña y asumía el control total de la cuenta.

El punto más alarmante: en ningún momento el atacante necesitaba acceder al correo real de la víctima. El fallo estaba en la lógica del bot, que no verificaba la identidad de quien hacía la solicitud.

Qué cuentas fueron comprometidas

Entre las cuentas afectadas había perfiles de alto valor:

  • El perfil de Instagram de la Casa Blanca de la era Obama, inactivo desde 2017.
  • La cuenta del Suboficial Mayor John Bentivegna, de la Fuerza Espacial de los Estados Unidos.
  • La cuenta de la investigadora de seguridad Jane Wong.

Un video que demostraba el ataque paso a paso fue publicado en Telegram por hackers pro-Irán. Las imágenes mostraban al chatbot de Meta cooperando sin resistencia durante todo el proceso.

Por qué el MFA habría evitado el ataque

Los propios hackers confirmaron que el exploit no funcionaba en cuentas con autenticación de dos factores activa. El ataque explotaba exclusivamente la ausencia de una segunda capa de verificación.

Las cuentas con MFA activado bloqueaban el flujo antes de cualquier posibilidad de restablecer la contraseña. Esto convierte al MFA en la protección más eficaz contra este tipo de ataque.

Qué hizo Meta

Andy Stone, portavoz de Instagram, confirmó que el problema fue corregido. Las cuentas comprometidas fueron recuperadas, pero Meta no reveló el número exacto de usuarios afectados ni el período en que el fallo estuvo activo.

La empresa no detalló públicamente los cambios realizados en el chatbot para evitar ataques similares en el futuro.

Cómo proteger tu cuenta ahora

Aunque el fallo ya fue corregido, estas prácticas reducen considerablemente el riesgo ante cualquier escenario:

  • Activa el MFA: Ve a Configuración, luego Seguridad, y activa la autenticación de dos factores. Usa una aplicación autenticadora o una llave de seguridad física, que son más seguras que el código por SMS.
  • Revisa los correos vinculados: Confirma que solo tus direcciones de correo están asociadas a tu cuenta.
  • Monitorea la actividad de inicio de sesión: En Instagram, ve a Configuración, Seguridad y luego Actividad de inicio de sesión para ver qué dispositivos han accedido recientemente.
  • Usa una contraseña fuerte y única: No reutilices contraseñas en distintas plataformas.

Activar el MFA es la medida más importante. Habría impedido el ataque en todos los casos documentados.

Preguntas frecuentes

¿Mi cuenta puede haberse visto afectada?

Si no tenías MFA activo durante el período en que el fallo estuvo activo, vale la pena revisar el historial de inicios de sesión y confirmar que el correo registrado sigue siendo el tuyo. Si detectas alguna actividad extraña, restablece tu contraseña de inmediato y activa el MFA.

¿El ataque sigue funcionando?

No. Meta confirmó que el problema fue corregido. El chatbot de soporte ya no permite ese flujo de incorporación de correo sin la verificación de identidad adecuada.

¿Solo Instagram se vio afectado?

Los casos documentados involucran cuentas de Instagram específicamente. No hay confirmación de que otras plataformas de Meta, como Facebook o WhatsApp, se hayan visto afectadas por el mismo fallo.

¿Debo activar el MFA aunque el fallo ya fue corregido?

Sí. El MFA protege contra una amplia variedad de ataques, no solo este. El phishing, el credential stuffing y los ataques de fuerza bruta son mucho más difíciles con MFA activo. Es una de las mejores decisiones de seguridad que puedes tomar para cualquier cuenta.