Un equipo de investigadores de seguridad de ZachXBT y Dark Web Informer ha identificado una vulnerabilidad en la herramienta de recuperación de cuentas de Meta que utiliza inteligencia artificial. Esta falla permite a los atacantes secuestrar cuentas al manipular al chatbot y obtener así códigos de restablecimiento de contraseña sin la debida verificación. A continuación, te explicamos cómo funciona y qué implicaciones puede tener para ti.
Se trata de un fallo crítico en la herramienta de cuentas de Meta. Esto ha cambiado la estrategia de los atacantes, que ahora buscan convencer a la IA para acceder a las credenciales, en lugar de robar contraseñas directamente. Las cuentas que no cuentan con autenticación en dos pasos son las más vulnerables a este tipo de ataque.
Problema con la herramienta de recuperación de cuentas de Meta
El informe fue compartido por ZachXBT y Dark Web Informer a través de sus cuentas en la red social X. Aunque ya se ha solucionado el problema, esto destaca nuevamente las potenciales amenazas que la Inteligencia Artificial puede representar para la seguridad informática, lo que nos lleva a ser más cautelosos.
Desde Dark Web Informer, en su cuenta de X (@DarkWebInformer), mostraron cómo esta vulnerabilidad afectaba a Meta AI para restablecer contraseñas de cuentas de Instagram sin autenticación en dos pasos. También indicaron que el problema ha sido corregido recientemente.
Instagram tenía un exploit que permitía usar Meta AI para restablecer contraseñas de cuentas sin MFA. El exploit fue parcheado hace poco.https://t.co/PEUwLvmllj
01 de junio, 2026 • 03:08
Un mensaje similar fue compartido por la cuenta oficial de ZachXBT en X (@zachxbt), donde también mencionaron que la IA de Meta tenía un funcionamiento deficiente y contaba con demasiados permisos, permitiendo a cualquier persona restablecer contraseñas sin verificar su identidad, especialmente si no tenían 2FA.
@wirelyss @Polymarket Probablemente se deba a un gran exploit en Instagram/Meta que fue corregido el fin de semana.Básicamente, el soporte de Meta AI es deficiente y tiene muchos permisos de acceso que permitían restablecer contraseñas de cualquier usuario sin 2FA y sin verificar quién eras.
Telegram
01 de junio, 2026 • 02:59
¿Cómo funcionaba el ataque? Los atacantes podían interactuar con el chatbot y solicitar que se enviaran códigos de restablecimiento de contraseña a terceros sin el consentimiento necesario. De este modo, el proceso de verificación de identidad era completamente eludido; solo necesitaban el nombre de usuario para iniciar el trámite.
Este problema no es una brecha de seguridad convencional en los servidores, sino un fallo en la lógica de la Inteligencia Artificial, que no contaba con las restricciones adecuadas antes de procesar las solicitudes de restablecimiento.
Los investigadores han identificado que se atacaron cuentas de Instagram de alto valor, con nombres de usuario cortos y relevantes, que incluso han sido listadas en mercados de la Dark Web, como @hey o @jowo.
Qué hacer
Instagram ya ha solucionado este problema y el fallo ha sido corregido. En principio, no es posible aprovechar esta vulnerabilidad. Sin embargo, es prudente que tomes precauciones no solo para protegerte de este incidente, sino de cualquier otro intento de ataque.
Es clave activar la autenticación en dos pasos. Esto añade una capa extra de seguridad que va más allá de la contraseña, ayudando a prevenir accesos no autorizados, incluso si logran robar tu clave. Recomendamos aplicar esta medida a todas tus cuentas en línea.
También es crucial utilizar un correo electrónico privado que no esté expuesto públicamente. Si alguien descubre el correo asociado a tus redes sociales, podrías enfrentar problemas. Por ello, te sugerimos emplear direcciones privadas para mejorar tu seguridad.
Medidas para proteger la cuenta de Instagram
| Medida | Descripción breve | Prioridad |
|---|---|---|
| Activar autenticación en dos pasos (2FA) con app | Usar Google Authenticator, 1Password u otra aplicación de autenticación; evita depender solo de SMS | Alta |
| Usar una llave de seguridad hardware (FIDO2/WebAuthn) | Ejemplo: YubiKey; protege incluso si el flujo de recuperación es comprometido | Alta |
| No exponer el correo electrónico asociado a la cuenta | Utilizar una dirección privada no vinculada a perfiles públicos | Media |
| Revisar sesiones activas y permisos periódicamente | Desde la configuración de Instagram, eliminar accesos no reconocidos | Media |
Medios de comunicación especializados como Cyber Security News han informado sobre este problema en Instagram. Subrayan el riesgo asociado a la IA, lo que hace necesario estar siempre alerta y no facilitar el trabajo a los atacantes.
Preguntas frecuentes
¿En qué consistía exactamente el fallo de Instagram relacionado con la IA?
Era una vulnerabilidad en la herramienta de recuperación de cuentas de Meta impulsada por IA. Los atacantes podían manipular al chatbot para que enviara códigos de restablecimiento de contraseña a cualquier usuario de Instagram que no tuviera activada la autenticación en dos pasos (2FA). No era una brecha en los servidores, sino un fallo en la lógica de la IA que no verificaba adecuadamente la identidad del solicitante.
¿Afectó este exploit a todas las cuentas de Instagram?
No. Solo eran vulnerables aquellas cuentas que no contaban con autenticación en dos factores (2FA). Las cuentas con esta capa adicional de seguridad no estaban expuestas al ataque. Según los analistas, los atacantes se enfocaron en cuentas de alto perfil con nombres de usuario cortos y valiosos, como @hey o @jowo.
¿El fallo ya está corregido?
Sí. Meta confirmó a través de su cuenta oficial de Instagram que el problema fue solucionado. El exploit ya no está operativo; sin embargo, se aconseja seguir las buenas prácticas de seguridad para prevenir futuros riesgos.
