Meta presentó cifras concretas sobre la campaña contra cuentas de Instagram en una notificación enviada a la Fiscalía General del estado de Maine. Según el documento, al menos 20.225 cuentas fueron comprometidas, incluidas 30 en Maine.

Los hackers explotaron durante meses el chatbot de soporte con IA de Meta para Instagram con el fin de tomar el control de cuentas ajenas. El chatbot, una herramienta de recuperación de cuentas llamada High Touch Support, debía ayudar a los usuarios bloqueados a recuperar el acceso a sus perfiles. Sin embargo, un error en una ruta de código separada hizo que el sistema no verificara si la dirección de correo electrónico indicada pertenecía realmente a la cuenta de Instagram correspondiente.

Según la notificación, los ataques comenzaron alrededor del 17 de abril de 2026 y no fueron detectados hasta el 31 de mayo. Los atacantes aprovecharon la vulnerabilidad ya conocida en el sistema de recuperación de cuentas con IA, que enviaba enlaces de restablecimiento de contraseña a direcciones de correo arbitrarias sin comprobar su relación con la cuenta.

Meta describe la cifra de 20.225 como un límite máximo, ya que algunos accesos podrían haber sido realizados por los propietarios legítimos de las cuentas. Según la compañía, los datos potencialmente accesibles incluían información de contacto, fechas de nacimiento, publicaciones, mensajes directos, actividad de la cuenta, información del perfil y servicios vinculados. Meta afirma que no sabe qué información fue realmente consultada. Thisweekinsecurity fue el primer medio en informar sobre la notificación.

 

Como medida inmediata, Meta desactivó el chatbot de IA, eliminó la ruta de código defectuosa e invalidó todos los enlaces de restablecimiento de contraseña generados a través del sistema. Los usuarios afectados fueron dirigidos a un control de seguridad obligatorio y se les pidió restablecer sus contraseñas mediante canales verificados.

 

Antes de reactivar la herramienta, Meta quiere corregir la verificación de correo electrónico en el proceso de recuperación y revisar sistemas similares de recuperación de cuentas en todas sus plataformas. El incidente ocurre en un momento en que Meta ha despedido a miles de empleados mientras apuesta fuertemente por la inteligencia artificial. El chatbot de soporte con IA había sido presentado anteriormente por la empresa como una mejora para la seguridad de las cuentas.