Hackers usaron el chatbot de Meta para secuestrar cuentas de Instagram

Un grupo de atacantes comprometió cuentas de alto perfil en Instagram explotando una falla en el chatbot de soporte de inteligencia artificial de Meta. Entre las víctimas se encontraron el perfil oficial de la Casa Blanca de Barack Obama, la cuenta del Sargento Mayor en Jefe de la Fuerza Espacial de Estados Unidos y la marca de cosméticos Sephora.

El método era sorprendentemente simple: los hackers usaban una VPN para simular la ubicación de la víctima, abrían una conversación con el asistente de soporte de Meta y le pedían al chatbot que añadiera una nueva dirección de correo electrónico a la cuenta objetivo. El bot enviaba un código de verificación al email del atacante y, tras confirmarlo, mostraba la opción de restablecer la contraseña, completando el secuestro.

Meta declaró haber corregido la vulnerabilidad, pero múltiples usuarios reportaron que sus cuentas continuaron siendo comprometidas incluso después del anuncio oficial. La investigadora de seguridad Jane Wong también confirmó que su cuenta fue víctima del ataque.

El incidente encendió alarmas sobre los riesgos de delegar funciones críticas de soporte al cliente en sistemas de IA sin controles de seguridad robustos. Muchas víctimas denunciaron que no encontraron forma de escalar su caso a un agente humano dentro de la plataforma, dejándolas sin opciones de recuperación claras.