Hackers secuestraron cuentas de Instagram engañando al chatbot de IA de Meta: así funcionó el ataque
Felipe Parra Espinosa 
Una vulnerabilidad en el asistente de IA de Meta permitió robar cuentas de Instagram sin necesidad de contraseñas ni hackear el 2FA (Two-Factor Authentication) o autenticación en dos factores
Un fallo crítico en el sistema de soporte con inteligencia artificial de Meta expuso miles de cuentas de Instagram a un secuestro silencioso. Lo más alarmante: los atacantes no necesitaron robar contraseñas ni vulnerar el sistema de doble autenticación. Solo tuvieron que hablar con un chatbot.
¿Qué pasó exactamente con la IA de Meta y las cuentas de Instagram?
Usuarios de Instagram comenzaron a reportar que habían perdido el acceso a sus cuentas sin explicación aparente. A pesar de tener activada la autenticación en dos factores (2FA), sus credenciales habían sido modificadas desde afuera.
La investigación reveló que el vector de ataque era el Meta AI Support Assistant, el chatbot oficial de soporte de la compañía. Los hackers descubrieron que podían manipular este asistente para que cambiara el correo electrónico de recuperación de una cuenta sin verificar que el solicitante fuera el verdadero propietario.
Paso a paso: así ejecutaban el ataque los hackers
El método documentado por usuarios en Reddit y difundido en la red social X seguía este proceso:
- Uso de VPN: El atacante conectaba su dispositivo a una VPN ubicada en el mismo país de la víctima, evitando las alertas geográficas de Meta.
- Conversación con Meta AI: A través del asistente de soporte con IA, solicitaban agregar un nuevo correo electrónico a la cuenta objetivo.
- Sin verificación real: El sistema no comprobaba que ese nuevo correo perteneciera al titular legítimo de la cuenta.
- Código de recuperación: El chatbot enviaba el código de restablecimiento al correo del atacante.
- Acceso total: Con ese código, el hacker restablecía la contraseña y tomaba control completo de la cuenta.
Todo el proceso se completaba sin necesidad de conocer la contraseña original ni interceptar mensajes del 2FA.
🚨 Instagram had an exploit that allowed you to use Meta AI to reset passwords to accounts with no MFA on them. The exploit was patched a short time ago.pic.twitter.com/PEUwLvmllj
— Dark Web Informer (@DarkWebInformer) June 1, 2026
Cuentas de alto perfil entre las afectadas
El alcance del ataque no fue menor. Entre las cuentas comprometidas se reportó la cuenta oficial de la Casa Blanca durante la era Obama, que contaba con más de 2,4 millones de seguidores. Estas cuentas robadas comenzaron a comercializarse activamente en canales de Telegram, donde se ofrecían perfiles verificados y de alto alcance al mejor postor.
Meta confirma el fallo y anuncia que fue corregido
Ante la oleada de denuncias, Instagram respondió públicamente a través de su portavoz Andy Stone, quien confirmó en redes sociales que la vulnerabilidad había sido identificada y corregida. Las cuentas de mayor perfil afectadas fueron restauradas y el contenido publicado por los atacantes durante el tiempo de acceso fue eliminado.
¿Por qué este ataque es una señal de alerta para la ciberseguridad en 2026?
Este incidente pone sobre la mesa un riesgo que los expertos en ciberseguridad llevan tiempo advirtiendo: la inteligencia artificial como superficie de ataque. No se trata solo de que los hackers usen IA para atacar, sino de que los sistemas de IA mal configurados pueden convertirse en cómplices involuntarios de los atacantes.
En este caso, el chatbot de Meta ejecutó acciones sensibles —cambio de correo de recuperación— sin los controles de verificación adecuados. Una falla de diseño que costó el acceso a miles de usuarios.
¿Cómo proteger tu cuenta de Instagram ante este tipo de ataques?
Aunque Meta ya corrigió esta vulnerabilidad específica, estos pasos siguen siendo esenciales:
- Revisa regularmente los correos vinculados a tu cuenta de Instagram.
- Activa las alertas de inicio de sesión para detectar accesos no autorizados.
- Usa un correo exclusivo y seguro para recuperación, diferente al que compartes públicamente.
- Desconfía de mensajes de soporte no solicitados, incluso si parecen provenir de plataformas oficiales.
- Mantén actualizada la información de recuperación de todas tus cuentas críticas.
La IA puede ser el eslabón más débil de la cadena
El caso Meta demuestra que la seguridad en la era de la inteligencia artificial exige replantear los modelos de verificación de identidad. Un chatbot que puede modificar datos de acceso sin autenticación robusta no es una herramienta de soporte: es una vulnerabilidad esperando ser explotada.
En SmartsCitys seguiremos informando sobre los casos donde la tecnología, mal implementada, se convierte en el mayor riesgo para los usuarios.
Cris Espinosa | Creador de Contenido y Periodista 
