Un iPhone y el asistente de inteligencia artificial de Meta se convirtieron recientemente en la combinación perfecta para ejecutar uno de los hackeos más sencillos y efectivos en Instagram.
Un video divulgado en redes sociales demostró que, con el uso de una VPN y el chatbot de soporte lanzado por Meta en diciembre de 2025, fue posible acceder a cuentas ajenas sin necesidad de tener relación alguna con las víctimas, siempre que no estuvieran protegidas por verificación en dos pasos.
PUBLICIDAD
Entre los afectados se encontraron perfiles tan relevantes como la cuenta archivada de la Casa Blanca de la era Obama y la del sargento mayor de la Space Force de Estados Unidos.
Cómo funcionó el hackeo en Instagram usando Meta AI y un iPhone
El método revelado por el video era directo y aprovechaba el proceso estándar de recuperación de cuentas en Instagram. El atacante, utilizando un iPhone y una conexión VPN para simular la ubicación de la víctima, accedía al asistente de soporte automatizado de Meta. El siguiente paso consistía en solicitar al bot que añadiera una nueva dirección de correo electrónico a la cuenta objetivo.
PUBLICIDAD
El chatbot de Meta respondía a la petición sin realizar ninguna comprobación sobre la identidad del solicitante. Simplemente enviaba un código de verificación al correo electrónico proporcionado por el atacante, quien lo compartía de inmediato con el bot.
Una vez introducido el código, la interfaz ofrecía la opción de restablecer la contraseña del perfil ajeno, permitiendo así el acceso total a la cuenta comprometida.
PUBLICIDAD
Este proceso no demandaba conocimientos técnicos avanzados ni herramientas especializadas más allá de los dispositivos y servicios de uso común. El único requisito de seguridad que podía bloquear el acceso era la autenticación en dos pasos, pero el exploit lograba evadirla en ciertos casos o directamente la ignoraba si estaba desactivada, dejando vulnerables a múltiples usuarios.
Cabe señalar que para las capas de protección basadas en reconocimiento de dispositivos o ubicaciones, la VPN permitía sortear los bloqueos en cuestión de segundos.
PUBLICIDAD
Cuáles fueron las cuentas afectadas de Instagram
La filtración de este método permitió el acceso no autorizado a cuentas de alto perfil y a perfiles con nombres de usuario codiciados dentro de la plataforma. Entre los principales afectados se encontró la cuenta de Instagram de la Casa Blanca de la era Obama, que permanecía inactiva desde 2017, y la del sargento mayor John Bentivegna, uno de los máximos representantes de la Space Force estadounidense.
Además, varios usuarios con nombres de usuario cortos o especialmente valiosos sufrieron el robo de sus perfiles. Este tipo de cuentas suele tener una alta cotización en el mercado negro digital, donde se revenden a terceros interesados en poseer identificadores exclusivos o fáciles de recordar.
PUBLICIDAD
De acuerdo con lo reportado por 404 Media, canales de Telegram dedicados a la comercialización de servicios ilegales relacionados con Instagram aprovecharon el exploit para obtener ganancias considerables.
La respuesta de Meta y los problemas del soporte automatizado
Tras la viralización del incidente, Andy Stone, vicepresidente de comunicaciones de Meta, anunció en la red social X que la vulnerabilidad había sido resuelta. La empresa cerró el acceso al exploit y comunicó que se encontraba trabajando para restituir la seguridad de las cuentas afectadas.
PUBLICIDAD

Sin embargo, la solución técnica no fue suficiente para muchos usuarios perjudicados. Aquellos que perdieron el acceso a sus perfiles durante el fin de semana del ataque se enfrentaron a la paradoja de depender del mismo sistema automatizado que había facilitado el robo.
En numerosos casos, los intentos de recuperación a través del soporte automatizado de Meta resultaron infructuosos, ya que el sistema no ofrecía la posibilidad de contactar directamente con una persona para resolver el problema.
PUBLICIDAD
Las fallas de seguridad en los sistemas automatizados
El incidente expuso la fragilidad de los sistemas de soporte basados en inteligencia artificial cuando no existen mecanismos sólidos de verificación de identidad. El asistente de Meta no comprobaba la relación entre el solicitante y la cuenta objetivo, permitiendo que cualquier usuario pudiera modificar los datos de acceso, siempre que tuviera acceso al correo electrónico sugerido.

Además, las barreras geográficas implementadas por Meta, que se basaban en la detección de dispositivos y ubicaciones habituales, resultaron ineficaces frente al uso de una VPN. El sistema de selfies para confirmación de identidad también fue vulnerado mediante el uso de imágenes generadas por inteligencia artificial, lo que permitió a los atacantes superar controles que en principio debían ofrecer mayor seguridad.
PUBLICIDAD
La única protección efectiva en la mayoría de los casos fue la autenticación en dos pasos, pero ni siquiera este mecanismo garantizó una defensa absoluta, ya que el exploit logró eludirlo en ciertos escenarios.
PUBLICIDAD
PUBLICIDAD
Últimas Noticias
La impresión 3D ya produce puentes resistentes que soportan más del doble de su peso
La nueva tecnología permite fabricar estructuras de hormigón optimizadas y resistentes en solo media hora

Por qué Starlink devolverá dinero a algunos clientes y cómo saber si recibirás esta compensación
La empresa corrigió errores tras recibir numerosas quejas de clientes con promociones activas
FBI arresta a hombre que usaba juegos falsos de Steam para robar criptomonedas de sus víctimas
Los juegos infectados ocasionaron miles de dispositivos comprometidos entre 2024 y 2026

Qué aprendió Google del primer Mundial con inteligencia artificial
El director de marketing para Latinoamérica de la empresa tecnológica, Ramiro Sánchez, reveló en Nueva York que la Selección argentina ya concentraba más del 20% de la conversación global en redes antes de arrancar la Copa del Mundo, el dato que la empresa priorizó por sobre el resultado deportivo




