Por Canuto Meta informó que alrededor de 20.225 cuentas de Instagram pudieron haber sido comprometidas tras el abuso de una herramienta de recuperación asistida por IA. El problema permitió a atacantes recibir enlaces de restablecimiento de contraseña de cuentas ajenas, siempre que las víctimas no tuvieran autenticación de dos factores activada.
***
- Meta detectó el 31 de mayo una falla en su herramienta High Touch Support usada para recuperar cuentas de Instagram.
- El sistema enviaba enlaces de restablecimiento a correos no asociados con la cuenta, lo que facilitó la toma de perfiles sin 2FA.
- La empresa deshabilitó la herramienta, invalidó enlaces generados por la vulnerabilidad y forzó medidas de seguridad en las cuentas afectadas.
🚨Meta revela falla de seguridad en Instagram🚨
Más de 20,000 cuentas comprometidas por un error en su herramienta de recuperación asistida por IA.
Los atacantes pudieron solicitar enlaces de restablecimiento de contraseña y tomar control de cuentas sin 2FA.
Meta deshabilitó… pic.twitter.com/gMHtHDew7e
— Diario฿itcoin (@DiarioBitcoin) June 8, 2026
Meta reveló que aproximadamente 20.225 cuentas de Instagram pudieron haber sido comprometidas tras la explotación de una vulnerabilidad en una herramienta de soporte de recuperación de cuentas asistida por IA.
El incidente vuelve a poner bajo presión a los sistemas automatizados usados en procesos sensibles de seguridad, especialmente cuando intervienen en cambios de credenciales e identidad digital.
En términos simples, el fallo permitió que un tercero solicitara un enlace de restablecimiento de contraseña para una cuenta ajena y lo recibiera en una dirección de correo propia. Si la cuenta objetivo no tenía activada la autenticación de dos factores, el atacante podía cambiar la clave, iniciar sesión y tomar el control del perfil.
Según reportó SecurityWeek, la vulnerabilidad afectó la herramienta High Touch Support, o HTS, diseñada para ayudar a usuarios bloqueados a recuperar acceso a sus cuentas. La compañía comunicó el caso a la Oficina del Fiscal General de Maine y señaló que el total de personas potencialmente afectadas asciende a 20.225.
Meta matizó que la cifra podría ser menor. Amber Hannah, abogada general asociada de Meta para respuesta a incidentes, explicó que el cálculo incluye usuarios que restablecieron sus contraseñas mediante la herramienta, no tenían 2FA habilitado y cuyas cuentas probablemente fueron accedidas por atacantes, aunque en algunos casos el acceso pudo haber sido realizado por los propietarios legítimos.
Cómo funcionó la falla de Meta
La falla estaba en un punto básico, pero crítico, del flujo de recuperación. Los usuarios podían solicitar asistencia a través de HTS y pedir que se enviara un enlace de restablecimiento de contraseña a su correo electrónico. Sin embargo, por un error en una ruta de código separada, el sistema no comprobaba adecuadamente que el correo facilitado coincidiera con el asociado a la cuenta de Instagram.
Meta explicó que la herramienta, en sí misma, operaba como estaba previsto, pero el sistema circundante no rechazaba direcciones no vinculadas previamente al perfil. En consecuencia, cuando alguien introducía un correo distinto al registrado por la cuenta, el sistema enviaba incorrectamente el enlace de restablecimiento a esa dirección en vez de bloquear la solicitud.
Ese comportamiento abrió la puerta a que terceros no autorizados recibieran enlaces de recuperación de cuentas que no les pertenecían. Después de restablecer la contraseña, podían iniciar sesión si el titular no había activado la autenticación de dos factores. En un escenario de seguridad digital, esa segunda capa suele funcionar como barrera final frente al secuestro de cuentas.
Security Affairs detalló que la exposición se habría extendido aproximadamente desde el 17 de abril de 2026 hasta principios de junio, cuando Meta retiró la herramienta. La empresa indicó que detectó la explotación el 31 de mayo, lo que sugiere que el abuso pudo haber permanecido activo durante varias semanas antes de ser identificado.
Cuentas de alto perfil y posible información expuesta
Entre las cuentas comprometidas figuraban perfiles de alto perfil, algunos de los cuales luego habrían sido vendidos en la dark web. La lista de cuentas impactadas incluyó, según la información publicada, la cuenta de la Casa Blanca de Obama, Sephora y la del Jefe Maestro Sargento de la Fuerza Espacial de Estados Unidos, John Bentivegna.
También trascendió que algunos ciberdelincuentes compartieron videos e instrucciones explicando cómo funcionaba el ataque. Ese detalle es relevante porque sugiere una explotación reproducible, no un incidente aislado ni una intrusión demasiado compleja. En otras palabras, el riesgo aumentó porque el método podía copiarse con relativa facilidad.
Meta dijo que no está claro si la información personal almacenada en las cuentas comprometidas fue efectivamente consultada o extraída. Aun así, la empresa reconoció que los atacantes pudieron haber accedido a datos de perfil, correos electrónicos, números telefónicos, fechas de nacimiento, mensajes directos, publicaciones, así como información sobre la actividad de la cuenta y el historial de interacciones.
Ese alcance potencial convierte el incidente en algo más serio que un simple cambio no autorizado de contraseña. Una cuenta de Instagram puede contener datos personales, conversaciones privadas y conexiones con servicios externos, por lo que el impacto podría incluir desde daño reputacional hasta intentos posteriores de fraude o suplantación.
La respuesta de Meta
Tras descubrir la explotación, Meta deshabilitó la herramienta HTS y dijo que solo la volverá a activar cuando tenga certeza de que la vulnerabilidad fue corregida. Además, invalidó los enlaces de restablecimiento generados por la vía vulnerable, para impedir que siguieran siendo utilizados después del hallazgo.
La empresa añadió que las cuentas afectadas fueron inscritas en un punto de control de seguridad obligatorio y que sus contraseñas ya fueron restablecidas. Ese proceso busca cortar accesos no autorizados existentes y forzar una nueva autenticación de los usuarios impactados.
Hannah señaló además que, tan pronto como sea práctico, Meta planea enviar notificaciones a los usuarios potencialmente afectados. La idea es informarles sobre el incidente, recomendarles revisar la configuración de seguridad de sus cuentas y activar la autenticación de dos factores.
La solución técnica de fondo parece sencilla en retrospectiva. Consiste en verificar que cualquier dirección de correo suministrada durante el proceso coincida realmente con la dirección registrada en la cuenta antes de emitir un enlace de recuperación. Precisamente esa validación básica fue la que faltó en una herramienta destinada a un contexto de alta sensibilidad.
Contexto más amplio sobre IA y seguridad
El caso ilustra un problema cada vez más visible en el despliegue de herramientas con IA en plataformas masivas. Cuando un sistema automatizado participa en decisiones relacionadas con identidad, acceso o recuperación de cuentas, los errores de diseño no solo afectan la experiencia del usuario, sino que pueden convertirse en vectores directos de ataque.
En este episodio, más que una IA generativa produciendo una respuesta errónea, el foco está en cómo un flujo asistido por IA se integró con privilegios sobre la seguridad de la cuenta. El incidente demuestra que incluso si el componente principal “funciona como se espera”, una validación deficiente en sistemas vecinos puede anular por completo la protección prevista.
Security Affairs añadió que Meta también está revisando flujos de recuperación similares en otras plataformas, lo que sugiere que la compañía busca confirmar si HTS fue un caso aislado o si existen herramientas comparables con debilidades parecidas. Esa revisión será clave para medir si el problema estaba limitado a Instagram o si formaba parte de un patrón de implementación más amplio.
El episodio se suma a una cadena de cuestionamientos regulatorios y de seguridad que la compañía ha enfrentado en años recientes. En este caso, la lección inmediata para usuarios y empresas es clara: los procesos de recuperación de cuentas son tan críticos como las propias contraseñas, y la autenticación de dos factores sigue siendo una defensa esencial frente a errores internos y abusos externos.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
Brian Armstrong advierte que la energía, no los modelos, frenará el auge de la IA
AltCoins
Fetch.ai FET se aferra a los $0,21 mientras la caída semanal del 23% enciende las alarmas
Empresas
Notion restablece Anthropic tras una falla temporal que disparó errores en Claude
Análisis de mercado