Es posible que hayas oído que algunas cuentas destacadas de Instagram fueron pirateadas durante el fin de semana. La cuenta de la Casa Blanca de Barack Obama Entre ellos se encontraba posiblemente el más grande.
Lo que quizás no hayas escuchado es que los hackers no tuvieron que esforzarse demasiado: los chatbots de atención al cliente de Matter AI básicamente entregaron cuentas.
De acuerdo a 404 mediosLos piratas informáticos solo tuvieron que solicitar que el chatbot asistente de soporte de Metar AI cambiara la dirección de correo electrónico asociada con la cuenta objetivo. Luego, los piratas informáticos engañan al robot para que inicie un restablecimiento de contraseña sin requerir verificación de identidad. Luego, la IA envió un código de acceso a la propia dirección de correo electrónico del hacker, que el hacker copió en el chat. Esto hizo que la IA mostrara un botón de “restablecer contraseña”, que luego se usó para cambiar la contraseña y tomar el control de la cuenta.
Incluso hay un paso a paso editado. Vídeo del proceso En X. El hacker usó una VPN para que pareciera que estaba en la ubicación del objetivo y la IA rápidamente accedió a la solicitud. En ningún momento el hacker necesitó la dirección de correo electrónico del usuario ni su contraseña real.
Instagram tenía un exploit que le permitía usar Meta AI para restablecer contraseñas en cuentas que no tenían MFA. El exploit fue parcheado hace un tiempo.pic.twitter.com/PEUwLvmllj
— Informador de la Web Oscura (@DarkWebInformer) 1 de junio de 2026
Las violaciones de seguridad han afectado a cuentas como la del minorista de maquillaje Sephora y el sargento mayor de la Fuerza Espacial de EE. UU., John Bentivegna. No está claro cuántas cuentas se vieron afectadas en total, pero muchos usuarios informaron haber sido pirateados. Reddit y X Fin de semana con la investigadora de seguridad Jane Wong.
“La contraseña se cambió sin mi conocimiento y estuve intentando restablecer diferentes contraseñas durante todo el día de ayer”, Jane X dijo. “Y me cerraron la sesión de la aplicación (de Instagram) para iOS repetidamente. Todo el asunto”.
¿Cómo ocurrió el hackeo?
El problema se debe casi en su totalidad al hecho de que la atención al cliente de Meta ahora está a cargo de AI. El gigante tecnológico. hizo el cambio En marzo, dijo que “habilitaría soporte 24 horas al día, 7 días a la semana para problemas de cuenta, como actualizar su contraseña y la configuración de su perfil”.
Pero como los chatbots de IA gestionaban todo el proceso, los humanos no podían intervenir cuando comenzaba una actividad sospechosa. Esto permite a los piratas informáticos lanzar ataques de estilo ingeniería social y realizarlos varias veces antes de que alguien se dé cuenta.
por Noticias de seguridad cibernéticaLos investigadores de seguridad JackXBT y Dark Web Informer fueron los primeros en revelar públicamente el exploit, pero no antes de que varias cuentas de alto perfil fueran robadas. Dark Web Informer rastreó las ventas de muchas de estas cuentas de alto perfil en tiempo real. Algunas de estas cuentas se agruparon a un precio inicial de 1 millón de dólares.
El portavoz de Instagram, Andy Stone, dijo esta información. Publicado en X Desde entonces, ese exploit ha sido corregido. 404 Media informa que Meta está en medio de “proteger las cuentas afectadas”.
Meta aún no ha respondido a una solicitud de comentarios.
Cómo protegerse de ataques similares
El exploit de ingeniería social tenía un defecto importante: no funcionaba en cuentas con autenticación multifactor. Estas cuentas ya tenían el código en su aplicación de autenticación preferida o lo recibieron por mensaje de texto. Sin la configuración MFA, el código de restablecimiento único parece enviarse a una dirección de correo electrónico de su elección, lo que permite a los piratas informáticos obtenerlo.
La mejor manera de protegerse es habilitar la autenticación multifactor, que está disponible en todas las plataformas Meta. es No te protegerá el 100% del tiempoPero es mucho mejor que una contraseña por sí sola y habría estado completamente protegida contra este exploit en particular.
Hay otras cosas que puedes hacer Aumentar la seguridad de la cuentaIncluir una dirección de correo electrónico personal para que sea más difícil usar claves de acceso y encontrar las credenciales de su cuenta cuando estén disponibles.
