Skip to main content
  1. Home
  2. Redes sociales
  3. Features

Cómo saber si un chatbot de IA me hackeó Instagram

La inteligencia artificial que Meta implementó para protegerte terminó convirtiéndose en la llave maestra que los hackers usaron para robarte la cuenta

By
Add as a preferred source on Google
Instagram logo
DTES

No hubo phishing sofisticado. No hubo virus. No hubo engaño al usuario. Solo bastó con pedírselo al chatbot.

Así de simple fue el método que permitió a hackers apoderarse de cientos —posiblemente miles— de cuentas de Instagram durante los últimos días de mayo y primeros de junio de 2026. El arma del crimen no fue un programa malicioso ni una red oscura: fue el propio asistente de inteligencia artificial de Meta, el mismo que la compañía presentó en marzo como una herramienta capaz de «resolver problemas de cuenta de principio a fin».

Recommended Videos

El mecanismo era perturbadoramente sencillo: un atacante iniciaba una conversación con el chatbot de soporte de Meta AI, afirmaba ser el dueño de la cuenta objetivo y le pedía al bot que vinculara esa cuenta a un nuevo correo electrónico bajo su control. El sistema enviaba un código de verificación al correo del hacker, y una vez ingresado ese código, el atacante recibía el enlace de restablecimiento de contraseña. En cuestión de minutos, la cuenta ya no era tuya.

Lo más alarmante, según TechCrunch: en ningún momento hubo un empleado de Meta en el proceso. La IA actuó sola, sin supervisión humana, con consecuencias devastadoras.

¿Cómo Meta falló en su propia puerta de entrada?

La vulnerabilidad tenía una falla lógica de fondo: el chatbot no verificaba correctamente la identidad del usuario ni exigía autenticación multifactor, incluso cuando las víctimas tenían esa medida activada. Para añadir agravante, el sistema validaba parcialmente la autenticidad de la cuenta basándose en la ubicación geográfica del solicitante.

Los hackers encontraron la solución a esa barrera con un truco elemental: una VPN. Al simular que se conectaban desde la misma ciudad que la víctima, el chatbot consideraba la solicitud legítima y procedía con el cambio de correo. La sofisticación fue mínima. El daño, enorme.

Entre las cuentas comprometidas se identificaron perfiles con usuarios cortos y muy cotizados —las llamadas «OG handles», las cuentas con nombres comunes que los primeros usuarios de Instagram registraron y que hoy se revenden en mercados grises— así como la cuenta del Jefe Maestro de Sargento de la Fuerza Espacial de EE.UU., John Bentivegna, y supuestamente la cuenta de archivo de la Casa Blanca de Obama, aunque Meta disputó ese último caso.

El lunes Meta dijo que estaba resuelto. El martes, nuevos ataques

Aquí comienza la parte más inquietante del episodio. El lunes 2 de junio, el vicepresidente de Comunicaciones de Meta, Andy Stone, publicó en X: «El problema ha sido resuelto y estamos asegurando las cuentas impactadas». Sin embargo, según TechCrunch, el martes más usuarios reportaron haber perdido el acceso a sus cuentas.

Peor aún: en un canal de Telegram donde la técnica de hackeo había sido publicada abiertamente, los miembros seguían afirmando poder explotar el chatbot e incluso anunciaban en venta los handles robados en tiempo real. Lo que comenzó como un exploit publicado en una red social se convirtió en una industria instantánea.

El experto en seguridad CSIRT de Telconet lo definió con precisión técnica: se trató de una falla lógica grave que permitía eludir la autenticación en dos pasos completamente, mediante solicitudes directas al asistente que tenía acceso a APIs de administración de cuentas.

¿Cómo saber si tu cuenta fue afectada?

Meta comenzó a notificar a las víctimas de forma activa. Estas son las señales que debes revisar de inmediato:

  • Correo electrónico de Instagram: La compañía envió mensajes alertando que detectó «actividad sospechosa que sugiere que tu cuenta de Instagram pudo haber sido comprometida», junto con instrucciones para restablecer la contraseña.
  • Notificación de restablecimiento de contraseña inesperado: Si recibiste un correo de reset de contraseña que tú no solicitaste, es una señal de alerta directa.
  • Preguntas de seguridad al iniciar sesión: Meta informó que algunos usuarios serán sometidos a preguntas de seguridad adicionales al intentar acceder.
  • Sesiones activas desde ubicaciones desconocidas: Revisa en Configuración → Seguridad → Actividad de inicio de sesión si hay dispositivos o países que no reconoces.
  • Correo de recuperación cambiado: Si al intentar ingresar el sistema indica que el correo asociado no corresponde al que tú usabas, alguien ya modificó tus datos.

La guía definitiva para proteger tu Instagram ahora mismo

Aunque Meta aplicó un parche de emergencia que deshabilita los flujos conversacionales del chatbot con acceso directo a las APIs de gestión de cuentas, la seguridad no puede depender solo de las empresas. Estas son las medidas que debes implementar hoy:

1. Activa la autenticación de dos factores con una app autenticadora
El SMS es el método más vulnerable porque puede ser interceptado. Usa Google Authenticator, Authy o Microsoft Authenticator. Las cuentas con esta protección fueron significativamente más difíciles de comprometer.

2. Usa una dirección de correo no pública como correo de recuperación
Si tu email de recuperación está visible en tu perfil o es fácilmente adivinable, eres un blanco fácil. Cambia a una dirección que solo tú conozcas.

3. Renueva tus códigos de respaldo de Instagram
Ve a Configuración → Seguridad → Autenticación en dos pasos → Códigos de respaldo. Genera nuevos códigos y guárdalos en un lugar seguro offline.

4. Audita todas las sesiones activas ahora mismo
En Configuración → Seguridad → Actividad de inicio de sesión, cierra todas las sesiones que no reconozcas. Si ves un país o dispositivo extraño, actúa de inmediato.

5. Nunca confíes ciegamente en un chatbot de soporte
Este caso demostró que incluso los sistemas oficiales pueden ser manipulados. Si un bot te pide datos sensibles o te confirma cambios que tú no solicitaste, desconfía y contacta el soporte por vías alternativas.

6. Considera usar una llave de seguridad física
Para usuarios con perfiles de alto valor —creadores, periodistas, figuras públicas— las llaves físicas de seguridad como YubiKey son la capa de protección más robusta disponible.

7. Revisa los correos vinculados a tu cuenta regularmente
La táctica de los hackers en este caso fue simplemente cambiar el correo de recuperación. Verificar que el correo asociado a tu cuenta sigue siendo el tuyo debería ser una rutina mensual.

Una lección más grande que Instagram

Este incidente es el reflejo de una tensión que define nuestra era digital: cuanto más poder le damos a la inteligencia artificial para automatizar procesos críticos, más grande es la superficie de ataque si esa IA falla. Meta anunció en marzo que su chatbot podría «restablecer contraseñas de forma segura». En menos de tres meses, esa promesa se convirtió en el mayor vector de hackeo masivo que ha vivido Instagram en años.

Como advierte Check Point Software, las empresas que adoptan IA deben asumir una doble responsabilidad: legal y ética. En este caso, Meta falló en ambas. La IA no tuvo supervisión humana en decisiones críticas de seguridad, no exigió verificación de identidad real y no fue capaz de distinguir entre el dueño legítimo de una cuenta y un atacante que simplemente afirmaba serlo.

La buena noticia: si Meta te envió una alerta o un correo de restablecimiento de contraseña, significa que la compañía detectó que tu cuenta fue blanco del ataque y ya tomó medidas para protegerte. La mala: si no recibiste nada y tu cuenta aún existe, no significa que no te hayan intentado hackear. Significa que debes actuar ahora.

Tu seguridad digital nunca debería depender exclusivamente de que una empresa la gestione bien. En el mundo de la IA, esa regla es más urgente que nunca.

Diego Bastarrica
Diego Bastarrica
Senior Editor
Diego Bastarrica es Senior Editor y Head of Content en Digital Trends en Español, donde lidera la estrategia editorial, SEO…
Topics
Los feeds de TikTok muestran tres veces más basura de IA que YouTube
Electronics, Mobile Phone, Phone

Si alguna vez has sentido que tu feed de TikTok es mayormente contenido falso, no te lo estás imaginando. Un nuevo informe de Kapwing reveló que el 59% de los vídeos que se muestran en una cuenta de TikTok nueva son basura de IA. Eso es aproximadamente tres veces la tasa que encontró Kapwing cuando hizo la misma prueba en YouTube.

¿Qué tan grave es el problema de la IA slop en TikTok comparado con YouTube?

Read more
WhatsApp prepara un widget para enviar audios sin abrir la aplicación
Electronics, Phone, Mobile Phone

WhatsApp podría estar a punto de transformar, de manera silenciosa pero significativa, la forma en que millones de usuarios envían notas de voz. La compañía propiedad de Meta ha sido sorprendida trabajando en un nuevo widget para Android que promete convertirse en una de las funciones más utilizadas de la app, aunque nadie la haya pedido explícitamente.

Un acceso directo que cambia las reglas del juego

Read more
Threads alcanza los 500 millones de usuarios mensuales
Electronics, Mobile Phone, Phone

Meta tiene motivos para celebrar. Su red social Threads ha alcanzado la barrera de los 500 millones de usuarios activos mensuales, apenas a unos días de cumplir su tercer aniversario desde el lanzamiento en julio de 2023. El hito confirma que la plataforma, concebida inicialmente como una respuesta directa a X —la red de Elon Musk—, ha logrado consolidar una base de usuarios sólida y en expansión sostenida.

El crecimiento ha sido notable en términos absolutos: desde agosto pasado, Threads sumó 1.000 millones de usuarios nuevos, lo que evidencia una aceleración considerable en su adopción global. Aunque todavía se encuentra lejos de los más de 600 millones de usuarios activos diarios que reporta X, el avance de Threads ha sido constante y Meta no parece dispuesta a frenar la inversión en la plataforma.

Read more