Más de 20.000 cuentas de Instagram comprometidas tras un fallo en un sistema de recuperación asistido por IA
Una vulnerabilidad en una herramienta interna utilizada por Meta permitió a los atacantes obtener enlaces legítimos de recuperación y acceder a perfiles de terceros.
- Meta confirmó que 20.225 cuentas de Instagram fueron comprometidas.
- El fallo afectaba a una herramienta interna de recuperación de acceso.
- Los atacantes podían recibir enlaces legítimos para restablecer contraseñas.
- La autenticación en dos factores habría bloqueado muchos de los accesos.
- Meta ha desactivado temporalmente el sistema afectado y reforzado sus controles.
Un fallo en un sistema interno de recuperación de cuentas ha permitido a ciberdelincuentes tomar el control de más de 20.000 perfiles de Instagram. El incidente, confirmado por Meta, afecta a una herramienta utilizada para ayudar a usuarios que habían perdido el acceso a sus cuentas y vuelve a poner el foco sobre los riesgos asociados a sistemas automatizados impulsados por inteligencia artificial.
Aunque el número de afectados representa una pequeña fracción de los más de 2.000 millones de usuarios activos de Instagram, la brecha resulta especialmente relevante por el tipo de información que pudo quedar expuesta y por la naturaleza del fallo que permitió la intrusión.
Cómo funcionaba la vulnerabilidad
El problema afectó a una plataforma interna conocida como High Touch Support (HTS), utilizada por Meta para gestionar procesos de recuperación de cuentas.
Según la compañía, el fallo no estaba relacionado con la generación de enlaces de recuperación, sino con una comprobación previa encargada de verificar que el correo electrónico introducido pertenecía realmente al propietario de la cuenta.
Debido a un error en uno de los sistemas auxiliares, esa validación podía omitirse en determinadas circunstancias.
Como consecuencia, los atacantes lograban introducir direcciones de correo electrónico bajo su control y recibir enlaces legítimos para restablecer contraseñas de cuentas ajenas.
Lo más preocupante: los enlaces generados eran completamente válidos. Desde el punto de vista del sistema, la recuperación parecía legítima, lo que dificultaba detectar el ataque de forma inmediata.
Una vez modificada la contraseña, los ciberdelincuentes podían acceder a la cuenta siempre que el usuario no tuviera activada la autenticación en dos pasos.
Más de 20.000 cuentas afectadas
Meta detectó la vulnerabilidad el 31 de mayo de 2026 después de recibir múltiples reportes de usuarios que afirmaban haber perdido el acceso a sus perfiles sin recibir notificaciones de actividad sospechosa.
La investigación posterior permitió identificar un patrón común en todos los incidentes.
Finalmente, la compañía concluyó que 20.225 cuentas habían sido comprometidas mediante la explotación de la misma vulnerabilidad.
Los análisis también sugieren que los ataques podrían haberse producido durante semanas antes de que el problema fuera detectado oficialmente.
Qué información pudieron consultar los atacantes
Meta asegura que no dispone de evidencias concluyentes sobre qué información fue visualizada o descargada tras el acceso a las cuentas comprometidas.
Sin embargo, reconoce que los atacantes potencialmente pudieron acceder a:
- Direcciones de correo electrónico.
- Números de teléfono.
- Fechas de nacimiento.
- Fotografías y vídeos.
- Historias publicadas.
- Mensajes privados.
- Información biográfica.
- Historial de actividad e interacciones.
- Datos vinculados a servicios conectados.
La posible exposición de mensajes privados y datos de contacto incrementa el riesgo de futuras campañas de phishing, extorsión digital y ataques de ingeniería social dirigidos específicamente contra las víctimas.
Las medidas adoptadas por Meta
Tras identificar el problema, Meta desactivó temporalmente el sistema HTS para impedir nuevos abusos mientras se desarrollaba una solución definitiva.
La compañía también anuló todos los enlaces de recuperación generados mediante la herramienta afectada e implementó controles adicionales de validación.
Además, obligó a las cuentas comprometidas a completar verificaciones adicionales antes de recuperar el acceso y recomendó cambiar las contraseñas de inmediato.
Las revisiones también se han ampliado a otros sistemas internos con funciones similares para descartar vulnerabilidades equivalentes dentro del ecosistema de Meta.
La autenticación en dos pasos vuelve a marcar la diferencia
Uno de los aspectos más destacados del incidente es que gran parte de los accesos no autorizados podrían haberse evitado mediante la autenticación en dos factores (2FA).
Incluso cuando un atacante consigue una contraseña válida, esta capa adicional de protección exige una segunda verificación antes de permitir el acceso.
| Protección | Nivel de defensa |
|---|---|
| Solo contraseña | Bajo |
| Contraseña + SMS | Medio |
| Contraseña + App autenticadora | Alto |
| Passkeys o llaves físicas | Muy alto |
Por este motivo, los expertos siguen recomendando activar la autenticación multifactor en redes sociales, correo electrónico, banca online y cualquier servicio que almacene información sensible.
Un problema que va más allá de Instagram
El incidente se suma a una larga lista de problemas relacionados con privacidad, protección de datos y seguridad que han afectado a Meta durante los últimos años.
Sin embargo, este caso pone el foco en un desafío diferente: la creciente integración de inteligencia artificial y automatización dentro de procesos críticos de seguridad.
A medida que más empresas delegan tareas sensibles en sistemas automatizados, un simple error de validación puede convertirse en una vía de acceso para miles de atacantes.
La lección que deja este incidente es clara. La inteligencia artificial puede agilizar procesos y mejorar la experiencia de los usuarios, pero también obliga a reforzar los mecanismos de control. Cuando esos controles fallan, el impacto puede afectar simultáneamente a miles de cuentas y millones de datos personales.
