Roban cientos de cuentas de Instagram engañando a la IA de Meta
TECNOLOGÍARoban cientos de cuentas de Instagram engañando a la IA de MetaUn fallo en el asistente de recuperación de cuentas de Meta permitió a varios atacantes secuestrar perfiles muy codiciados durante varios días....
Una noticia relevante se está gestando en la escena internacional. TECNOLOGÍARoban cientos de cuentas de Instagram engañando a la IA de MetaUn fallo en el asistente de recuperación de cuentas de Meta permitió a varios atacantes secuestrar perfiles muy codiciados durante varios días. Bastaba con convencer al chatbot detrás del servicio técnico Facebook X - Twitter WhatsApp Telegram LinkedIn Copiar enlace Enviar por email ComentarÁngel Jiménez de Luis EEUUEEUUActualizado Martes, 2 junio 2026 - 07:05Empesas Meta no quiere vivir solo de anuncios y lanzará nuevas suscripciones "Plus" para Instagram, Facebook y WhatsApp Para robar algunas de las cuentas más valiosas de Instagram no hace falta un sofisticado ataque informático. Basta con pedírselo a la inteligencia artificial de Meta.
O, al menos, bastaba. Meta ha corregido ya esta embarazosa vulnerabilidad, que ha podido llegar a estar activa durante semanas pero que se volvió extremadamente conocida y explotada el pasado fin de semana. El método, que destaparon el domingo los investigadores ZachXBT y la cuenta Dark Web Informer, aprovechaba el asistente automático que Instagram tiene para ayudar a recuperar perfiles a quienes olvidan su contraseña.
Los detalles
Los atacantes entablaban conversación con ese chatbot, le hacían creer que eran los dueños legítimos de una cuenta y conseguían que la IA pusiera en marcha el proceso de restablecimiento de contraseña. Ningún humano revisaba la operación. El detalle que lo hace inquietante es lo poco que se necesitaba para empezar.
Conocer el nombre de usuario del objetivo era prácticamente suficiente para iniciar el secuestro de la cuenta. Luego, una conexión a través de una VPN que simulara estar en la ciudad de la víctima (una pista que la propia red social muestra en la sección pública del perfil) conseguía no levantar las alarmas automáticas de Meta. Cuando el sistema pedía un vídeo para confirmar la identidad, el último paso antes de ceder el control, los atacantes usaban una foto del perfil público de la víctima, la animaban con un generador de vídeo por IA y subían el resultado como prueba.
La IA de Meta lo aceptaba porque no distinguía a una persona real frente a la cámara de una cara sintética en movimiento. Los atacantes se habrían centrado en secuestrar cuentas con nombres cortos de una sola palabra o pocas letras, que suelen tener un precio elevado en el mercado negro precisamente porque ya no es posible conseguirlos. Según los primeros análisis, llegaron a controlar el perfil @obamawhitehouse (el archivo de la Casa Blanca de la era Obama) y el del sargento mayor jefe de la Fuerza Espacial de Estados Unidos, @ocmssf, que habrían utilizado para difundir propaganda.
Otras, como @hey, se revendieron en minutos a través de canales privados de Telegram. Lo más alarmante es que ni la verificación en dos pasos, que Meta recomienda activar por defecto, parece haber servido de escudo. Al tratar la recuperación como un reinicio total de la cuenta por parte de su supuesto dueño legítimo, el proceso lo ignoraba.
El desarrollo ha despertado una amplia atención internacional, con los círculos diplomáticos siguiéndolo de cerca.
