Un fallo en el chatbot de soporte impulsado por inteligencia artificial de Meta encendió las alarmas en el mundo de la ciberseguridad luego de que permitiera el secuestro de cientos e incluso miles de cuentas de Instagram durante los últimos días de mayo y los primeros de junio de 2026.
El incidente llamó especialmente la atención de especialistas y usuarios porque los atacantes no recurrieron a métodos tradicionales como virus, correos electrónicos fraudulentos o campañas de phishing. En cambio, aprovecharon una vulnerabilidad en el propio sistema automatizado de atención de Meta para obtener acceso a perfiles ajenos.
De acuerdo con un reporte publicado por TechCrunch, los ciberdelincuentes lograban convencer al chatbot de que eran los propietarios legítimos de una cuenta de Instagram. Una vez establecida esa falsa identidad, solicitaban modificar el correo electrónico vinculado al perfil. El sistema aceptaba la petición y enviaba códigos de verificación que permitían completar el proceso de recuperación de contraseña y tomar el control de la cuenta en cuestión de minutos.
Lo más preocupante para los expertos es que todo el procedimiento podía realizarse sin intervención humana. La inteligencia artificial actuaba de forma autónoma y, sin saberlo, se convertía en una herramienta utilizada por los atacantes para vulnerar las medidas de seguridad de la plataforma.
La raíz del problema se encontraba en una falla lógica dentro del proceso de verificación de identidad. Según especialistas en seguridad informática, el chatbot no exigía correctamente algunos mecanismos fundamentales de autenticación y utilizaba parcialmente la ubicación geográfica como criterio para validar determinadas solicitudes.
Los delincuentes aprovecharon esta debilidad mediante el uso de redes privadas virtuales o VPN. Gracias a esta tecnología podían simular que se conectaban desde la misma ciudad o región de la víctima. Al detectar una ubicación aparentemente compatible, el sistema interpretaba que la solicitud era legítima y autorizaba el cambio del correo electrónico asociado a la cuenta.
Entre los perfiles afectados se encontraban cuentas con nombres de usuario cortos y muy codiciados en internet, conocidos como “OG handles”, así como perfiles pertenecientes a figuras públicas, organizaciones y usuarios con gran presencia en redes sociales.
Expertos en ciberseguridad calificaron el incidente como una vulnerabilidad grave porque permitía eludir mecanismos de protección tan importantes como la autenticación en dos pasos. En la práctica, el chatbot se transformó en una puerta de acceso que los atacantes podían explotar para saltarse controles que normalmente impedirían la toma de control de una cuenta.
Ante la creciente preocupación, Meta informó el 2 de junio que había corregido la vulnerabilidad. Andy Stone, vicepresidente de Comunicaciones de la compañía, aseguró que el problema había sido solucionado y que se estaban tomando medidas para proteger a los usuarios afectados.
Sin embargo, la situación no quedó completamente resuelta de inmediato. Durante los días posteriores continuaron apareciendo reportes de personas que denunciaban la pérdida de acceso a sus perfiles. Además, en algunos canales de Telegram dedicados a la compraventa de cuentas de redes sociales surgieron mensajes de usuarios que afirmaban seguir aprovechando la falla y comercializando nombres de usuario obtenidos mediante este método.
El caso volvió a poner sobre la mesa uno de los principales desafíos asociados al uso de inteligencia artificial en plataformas digitales: la necesidad de establecer mecanismos de validación sólidos cuando los sistemas automatizados tienen acceso a funciones administrativas sensibles.
Meta comenzó a notificar a los usuarios potencialmente afectados mediante correos electrónicos y alertas dentro de la plataforma. Entre las señales que podrían indicar que una cuenta fue comprometida se encuentran los mensajes de restablecimiento de contraseña que el usuario no solicitó, correos de Instagram informando actividad sospechosa, cambios inesperados en el correo electrónico asociado a la cuenta y la aparición de dispositivos o ubicaciones desconocidas en el historial de inicio de sesión.
También puede ser una señal de alerta que la plataforma solicite repentinamente verificaciones de seguridad adicionales al intentar acceder a la cuenta, especialmente si el usuario no realizó cambios recientes en su configuración.
Aunque Meta implementó un parche para limitar el acceso del chatbot a herramientas administrativas críticas, especialistas recomiendan que los usuarios refuercen sus medidas de protección de manera independiente.
Una de las recomendaciones más importantes es activar la autenticación en dos pasos utilizando aplicaciones especializadas como Google Authenticator, Authy o Microsoft Authenticator. Los expertos consideran que estos sistemas ofrecen un nivel de seguridad superior al de los códigos enviados mediante mensajes SMS.
Asimismo, aconsejan utilizar una dirección de correo electrónico exclusiva para la recuperación de cuentas importantes, generar nuevos códigos de respaldo y revisar regularmente las sesiones activas para identificar accesos sospechosos.
Para usuarios con perfiles de alto valor, como creadores de contenido, empresas o figuras públicas, los especialistas sugieren incluso considerar el uso de llaves físicas de seguridad, dispositivos que añaden una capa adicional de protección frente a intentos de acceso no autorizado.
El incidente demuestra que, aunque la inteligencia artificial puede mejorar la experiencia de los usuarios y agilizar procesos de soporte, también puede convertirse en un punto vulnerable cuando los sistemas de verificación no están diseñados con suficientes controles de seguridad. La situación sirve como recordatorio de la importancia de combinar la automatización con mecanismos robustos de autenticación para proteger millones de cuentas en plataformas digitales.
Deja una respuesta