Hackers usaron IA para hackear cuentas de Instagram sin necesitar tu contraseña: así lo hicieron

Durante años, la pregunta de ciberseguridad era: ¿cómo protejo mi contraseña? En 2026, esa pregunta ya no es suficiente.

Investigadores de seguridad confirmaron este mes un vector de ataque nuevo que no requiere que el atacante conozca tu contraseña, intercepte tu código de verificación ni acceda a tu dispositivo. Lo que necesita es una IA bien entrenada y paciencia.

Cómo funciona el ataque

Instagram, como la mayoría de las grandes plataformas, utiliza sistemas de soporte automatizados impulsados por IA para gestionar el volumen de solicitudes de usuarios. Recuperación de cuentas, disputas de contenido, verificación de identidad — todo pasa primero por un sistema de IA antes de llegar (si llega) a un humano.

Los atacantes descubrieron que estos sistemas de soporte de IA son manipulables mediante una técnica conocida como "prompt injection social": básicamente, engañar al sistema de IA de soporte para que tome acciones que no debería tomando.

El proceso documentado funciona así:

1. El atacante identifica la cuenta objetivo (nombre de usuario público)
2. Contacta al soporte de Instagram con una narrativa fabricada pero convincente: "Esta es mi cuenta, perdí acceso a mi email y número de teléfono en el mismo incidente"
3. La IA de soporte —diseñada para ser útil y resolver problemas— evalúa la historia, los "documentos" presentados (generados con IA, difíciles de distinguir de los reales) y la coherencia del relato
4. Si la IA determina que la historia es plausible, inicia el proceso de recuperación de cuenta con los nuevos datos del atacante
5. El usuario legítimo pierde el acceso

Por qué esto es diferente a los ataques anteriores

Los ataques de phishing tradicionales requieren que la víctima cometa un error: hacer clic en un enlace falso, introducir su contraseña en un sitio falso. Este ataque no necesita ninguna acción de la víctima.

La víctima puede tener una contraseña perfectamente segura, autenticación en dos factores activada, y un dispositivo completamente limpio. Nada de eso protege contra un ataque que va directamente al sistema de soporte de la plataforma.

Es el equivalente digital de convencer al guardia de seguridad del edificio de que eres el propietario del apartamento, sin necesitar las llaves.

Quién está más en riesgo

Las cuentas con mayor probabilidad de ser objetivo son las que tienen valor monetario o de influencia: creadores de contenido con miles o millones de seguidores, cuentas de negocio con audiencia construida durante años, y cuentas de personas públicas.

El motivo suele ser económico: una cuenta con 100.000 seguidores puede venderse en mercados negros por miles de dólares, o usarse para estafas dirigidas a una audiencia ya construida.

Cómo protegerte

Las medidas de protección en este tipo de ataque son diferentes a las habituales:

Activa el PIN de seguridad de la cuenta: Instagram permite configurar un PIN adicional que se requiere para cualquier cambio en los datos de la cuenta. Esto añade una barrera que el atacante necesita superar incluso después de convencer a la IA de soporte.

Mantén actualizado el email y teléfono de respaldo: Un atacante que intente este método se lo pone más difícil si la cuenta tiene datos de contacto actualizados y verificados recientemente.

Activa la autenticación de dos factores con una app de autenticación (no por SMS, que es más fácil de interceptar): Apps como Google Authenticator o Authy generan códigos localmente que son mucho más difíciles de comprometer.

Documenta tu cuenta: Guarda capturas de fecha de creación, correos de bienvenida de Instagram, y cualquier elemento que demuestre que eres el creador original de la cuenta. En caso de disputa, tener más documentación que el atacante es tu mayor ventaja.

La lección más amplia

Este ataque no es específico de Instagram. Cualquier plataforma que use IA en su soporte al cliente —y en 2026 son casi todas— tiene potencialmente la misma vulnerabilidad.

La IA diseñada para ser útil y resolver problemas de usuarios puede ser engañada por alguien que sepa cómo formular las solicitudes correctas. Es el mismo principio que hace que las IAs sean tan útiles —adaptarse a lo que el usuario necesita— convertido en vulnerabilidad.

La industria está respondiendo: Meta anunció capas adicionales de verificación humana para solicitudes de recuperación de cuentas de alto valor. Pero la carrera entre atacantes que usan IA y defensas que también usan IA acaba de empezar.