Cómo saber si un chatbot de IA comprometió tu cuenta de Instagram y qué hacer para protegerla

Un fallo en el chatbot de soporte impulsado por inteligencia artificial de Meta permitió que ciberdelincuentes tomaran el control de cientos, e incluso miles, de cuentas de Instagram durante los últimos días de mayo y comienzos de junio de 2026.

El incidente encendió las alarmas en el sector de la ciberseguridad porque los atacantes no necesitaron recurrir a virus, correos falsos o engaños sofisticados: bastó con interactuar con el asistente automatizado.

Según reportó TechCrunch, los atacantes lograban convencer al chatbot de que eran los propietarios legítimos de una cuenta y solicitaban asociarla a una nueva dirección de correo electrónico. Tras recibir un código de verificación, obtenían acceso al enlace de restablecimiento de contraseña y, en cuestión de minutos, la cuenta cambiaba de manos.

Lo más llamativo del caso es que el proceso se realizaba sin intervención humana. El sistema de inteligencia artificial actuaba de manera autónoma, convirtiéndose involuntariamente en la puerta de entrada para los ciberdelincuentes.

Una falla lógica permitió eludir las medidas de seguridad

La vulnerabilidad se originó en la forma en que el asistente verificaba la identidad de los usuarios. De acuerdo con los especialistas, el chatbot no exigía correctamente la autenticación multifactor y utilizaba parcialmente la ubicación geográfica como criterio para validar solicitudes.

Los atacantes aprovecharon esta debilidad utilizando redes privadas virtuales (VPN) para simular conexiones desde la misma ciudad de las víctimas. Así, el sistema interpretaba que la solicitud era legítima y procedía a modificar el correo asociado a la cuenta.

Entre los perfiles afectados se encontraban cuentas con nombres cortos y altamente cotizados, conocidos como “OG handles”, además de perfiles de personalidades y organizaciones. El experto en seguridad informática de CSIRT de Telconet describió el incidente como una falla lógica grave que permitía eludir por completo la autenticación en dos pasos mediante solicitudes directas al asistente.

Meta aseguró haber solucionado el problema

El 2 de junio, Andy Stone, vicepresidente de Comunicaciones de Meta, afirmó en la red social X que el problema había sido resuelto y que la compañía estaba trabajando para proteger las cuentas afectadas.

Sin embargo, al día siguiente se informó que continuaban apareciendo nuevos reportes de usuarios que habían perdido el acceso a sus perfiles. Incluso, en canales de Telegram dedicados a la compraventa de cuentas, algunos participantes aseguraban que seguían explotando la vulnerabilidad y ofreciendo los nombres de usuario robados.

La situación evidenció los riesgos que pueden surgir cuando sistemas de inteligencia artificial con acceso a herramientas administrativas carecen de mecanismos de validación suficientemente robustos.

Cómo saber si tu cuenta de Instagram fue comprometida

Meta comenzó a enviar notificaciones a los usuarios afectados. Estas son algunas señales que pueden indicar un acceso no autorizado:

• Recepción de un correo electrónico de Instagram alertando sobre actividad sospechosa.
• Mensajes de restablecimiento de contraseña que el usuario no solicitó.
• Aparición de preguntas adicionales de seguridad al iniciar sesión.
• Dispositivos o ubicaciones desconocidas en el apartado “Actividad de inicio de sesión”.
• Cambio inesperado del correo electrónico asociado a la cuenta.

La combinación de varios de estos indicios puede ser una señal clara de que alguien logró acceder al perfil.

Qué hacer para proteger la cuenta

Aunque Meta aplicó un parche de emergencia para limitar el acceso del chatbot a las herramientas de administración, los especialistas recomiendan reforzar la seguridad de forma independiente.

Una de las principales medidas es activar la autenticación en dos pasos mediante aplicaciones como Google Authenticator, Authy o Microsoft Authenticator, consideradas más seguras que los mensajes SMS.

También es aconsejable utilizar una dirección de correo exclusiva para la recuperación de la cuenta, generar nuevos códigos de respaldo y revisar periódicamente las sesiones activas para detectar accesos desconocidos.

Los expertos recomiendan, además, desconfiar de cualquier cambio inesperado confirmado por sistemas automatizados y, en el caso de usuarios con perfiles de alto valor, considerar el uso de llaves de seguridad físicas.