Resumen: Los piratas informáticos podrían utilizar el asistente de soporte de Meta AI para asociar sus direcciones de correo electrónico con las cuentas de Instagram de otras personas. Entre los afectados se encuentran perfiles de celebridades como el ex presidente Obama (Casa Blanca), Sephora y un sargento de la Fuerza Espacial de Estados Unidos. Meta dijo que el problema se ha resuelto, pero no reveló un número específico de cuentas comprometidas.

Los piratas informáticos tomaron el control de las cuentas de Instagram haciendo que el personal de soporte de Meta AI cambie las direcciones de correo electrónico vinculadas y configure un proceso de recuperación de contraseña. El incidente también afectó cuentas de celebridades como la antigua del ex presidente Obama, Revela una vulnerabilidad de seguridad más grave que un simple error Meta ha otorgado a su chatbot un amplio acceso a la recuperación de cuentas-una de las áreas más sensibles de la plataforma

Meta AI Support Assistant es una herramienta de soporte automatizada desarrollada por Meta para ayudar a resolver problemas de cuentas, cambios de configuración y restaurar el acceso a Facebook e Instagram. En marzo de 2026, la compañía anunció que el sistema era soportado las 24 horas del día, los 7 días de la semana, diseñado para "actuar" en nombre de los usuarios en ciertas situaciones y ofrecer la opción de restablecer contraseñas y actualizar perfiles.

Esta es precisamente la vulnerabilidad. Según informes de 404 Media, TechCrunch, The Verge, The Guardian y KrebsOnSecurity, los atacantes utilizaron un programa que instruyó al bot, vincular una nueva dirección de correo electrónico a una cuenta objetivo El sistema posteriormente envió un código de verificación a una dirección de correo electrónico controlada por el atacante, lo que brindó la oportunidad de cambiar la contraseña

TechCrunch informó que no era necesario revelar la dirección de correo electrónico real de la víctima La revista dijo que se podía confirmar que la dirección de correo electrónico pública mostrada en el video del atacante realmente recibió un código de verificación.

Meta respondió diciendo que el problema se había arreglado y que las cuentas afectadas estaban protegidas.

El portavoz de Meta, Andy Stone, supuestamente dijo a varios representantes de los medios de comunicación que la compañía no reveló el número total de cuentas afectadas.

El ataque aclaró el riesgo de soporte automático sin restricciones estrictas.

Los videos y capturas de pantalla que circulan en Telegram y X, No se muestra una intrusión sofisticada en el backend de Meta El problema es mucho más grave: el sistema de soporte aceptó una solicitud de recuperación, lo que benefició al atacante

El patrón informado incluye tres elementos principales:

• El atacante inició el proceso de recuperación de la cuenta de Instagram
• El bot de soporte de Meta AI aceptó un enlace en un nuevo correo electrónico después de enviar el código o inició una verificación a una dirección controlada por el atacante,
• permitiendo a Flow restablecer la contraseña, bloqueando así al legítimo propietario de la cuenta.

Añadiendo algunos informes de que el atacante utiliza una VPN para fingir que su ubicación está cerca de la ubicación habitual de la víctima, una táctica diseñada para reducir las alertas de seguridad automáticas y es importante porque demuestra que el bot no solo da una "respuesta equivocada" sino que se conecta a Flow, ¿Cuál es el impacto real en la propiedad de la cuenta?

La cuenta @obamawhitehouse ha sido inactiva desde 2017, pero según TMZ y otros medios que siguen el caso, la propaganda pro-iraní no autorizada Task&Purpose también informó que la cuenta de Instagram del sargento de la Fuerza Espacial de EE. UU. John Bentiveña fue comprometida el 31 de mayo de 2026 y publicó publicaciones e imágenes pro-iraní.

El caso de Bentiveña es una advertencia importante para los usuarios: los mensajes sospechosos y los enlaces de las cuentas comprometidas podrían ser el próximo área de ataque.

Particularmente sensible son la autenticación de dos factores (2FA), Passkey y la seguridad engañosa.

Hay matices importantes. El papel de la autenticación de múltiples factores (MFA) no ha sido unificado.

El blog tecnológico 0xsid afirma que el proceso ha sido considerado como recuperación completa de la cuenta y podría deshabilitar el 2FA original.

KrebsOnSecurity informa que el proceso ha sido considerado como recuperación completa de la cuenta y podría deshabilitar el 2FA original.

Por otro lado, los piratas informáticos, La persona que difundió el vídeo afirmó que este método no funciona para cuentas con MFA activado.

Debido a esta diferencia, esto no significa el fin de 2FA ni la protección de la panacea que se anuncia.

Se recomienda utilizar las cuentas con la protección de seguridad más fuerte

Las siguientes prioridades son aplicables a usuarios, creadores de contenido, medios de comunicación y marcas en México:

• Claves de activación y claves de seguridad (si las hay)
• Activa el MFA y no confíe exclusivamente en mensajes de texto (si hay una alternativa más potente)
• Comprueba las direcciones de correo electrónico y los números de teléfono asociados a Instagram
• Cerrar sesión desconocida
• Comprueba los cambios recientes en contraseñas, direcciones de correo electrónico, nombres de usuario y datos de recuperación
• No confíe en los mensajes o enlaces de cuentas que acaban de recuperarse o tienen actividad inusual

Las enseñanzas de Meta siguen siendo graves Los bots de soporte pueden ahorrar tiempo y dinero, pero si tienes permiso para cambiar tus datos de inicio de sesión, restablecer tus contraseñas o modificar tus datos de recuperación, necesitas un control estricto, Estrictamente escrutado y actualizado por empleados reales

La inteligencia artificial puede comunicarse, pero eso por sí solo no debe determinar quién es dueño de la cuenta

Para los particulares, la pérdida de una cuenta de Instagram puede ser un gran inconveniente para los medios de comunicación, las marcas, las autoridades y los creativos que venden a través de las redes sociales, lo que puede significar pérdida de reputación, fraude de clientes y toma de audiencia. Este incidente es una advertencia para toda la industria: soportar la automatización no debe ir acompañado de confiar en la automatización

Fuente: 1