El robo perfecto: el asistente de IA de Instagram* entregó a hackers 20.000 cuentas ajenas
La ruta más segura se convirtió de repente en un camino abierto para el ataque.
Los sistemas de recuperación de acceso a menudo parecen una vía alternativa en caso de pérdida de la contraseña, pero un error en ese mecanismo abrió la puerta a una toma masiva de cuentas. La empresa Meta reveló un incidente en el que atacantes utilizaron el sistema de atención con IA High Touch Support para restablecer contraseñas e iniciar sesión en perfiles ajenos. De este modo los hackers lograron acceder a 20 225 cuentas de Instagram.
High Touch Support ayudaba a los usuarios a recuperar el acceso a cuentas de Instagram tras un bloqueo o pérdida de acceso. Durante el proceso de recuperación, el sistema podía enviar un enlace para restablecer la contraseña a la dirección de correo electrónico indicada por la persona que solicitó ayuda. El problema surgió en una sección del código donde el servicio no verificaba si la dirección indicada estaba vinculada con la cuenta correspondiente.
A causa del error, los atacantes indicaban el perfil de otra persona y su propio correo electrónico, tras lo cual recibían el enlace para cambiar la contraseña. Si el dueño de la cuenta no había activado la autenticación de dos factores, la nueva contraseña permitía acceder al perfil y tomar el control. Según Meta, la propia herramienta de soporte funcionaba con normalidad, pero la verificación de la dirección de correo electrónico falló.
Meta descubrió la vulnerabilidad el 31 de mayo de este año. En la notificación al regulador del estado de Maine la empresa señaló que en el estado podrían haberse visto afectadas 30 personas. En la página del organismo la fecha del incidente figura como el 17 de abril de 2026, lo que probablemente esté relacionado con el inicio de los ataques a través del error en High Touch Support.
La empresa no especificó qué datos llegaron a visualizar o robar los atacantes. En la notificación se enumeran las posibles categorías de datos: correo electrónico, número de teléfono, fecha de nacimiento, publicaciones, fotos, vídeos, historias, mensajes privados, información del perfil, historial de actividad, cuentas vinculadas y servicios conectados.
Tras detectar el ataque, Meta desactivó el sistema de soporte con IA y todos los enlaces para restablecer contraseñas que High Touch Support ya había creado. Las cuentas potencialmente comprometidas se sometieron a controles de seguridad obligatorios, y se pidió a los usuarios afectados que cambiaran la contraseña de nuevo y confirmaran su inicio de sesión.
Antes de relanzar la herramienta, Meta planea corregir la verificación de la dirección de correo electrónico en el proceso de recuperación de acceso a Instagram. La empresa también está revisando escenarios similares de recuperación de cuentas en sus otras plataformas.