Grave fallo en Meta: hackers usaron su propia inteligencia artificial para robar cuentas

Una vulnerabilidad en los sistemas de inteligencia artificial de Meta encendió las alarmas en el mundo digital tras permitir que hackers accedieran a cuentas de Instagram sin necesidad de contraseñas ni software malicioso.

El incidente, confirmado por la compañía, se originó en su chatbot de soporte, una herramienta diseñada para ayudar a los usuarios a recuperar cuentas o gestionar problemas de seguridad. Sin embargo, fallas en los procesos de verificación permitieron que atacantes manipularan el sistema y lograran cambiar el correo electrónico vinculado a las cuentas.

Cómo funcionaba el hack: engañar a la inteligencia artificial

A diferencia de los ciberataques tradicionales, este método no dependía de engañar directamente a los usuarios, sino a la propia inteligencia artificial. Los atacantes iniciaban conversaciones con el chatbot y mediante técnicas de ingeniería social, lograban convencer al sistema de que eran los dueños legítimos del perfil.

Una vez superada esta validación deficiente, el bot de Meta permitía modificar el correo electrónico asociado a la cuenta. Con ese acceso, los ciberdelincuentes solicitaban el restablecimiento de contraseña y tomaban el control total del perfil en cuestión de minutos.

El problema se agravaba en cuentas sin autenticación en dos pasos, donde no existía una segunda barrera de seguridad. Influencers, empresas y perfiles con alto valor digital fueron los principales objetivos, ya que estos pueden ser revendidos o utilizados para fraudes.

Además del acceso a publicaciones, los atacantes podían revisar mensajes privados, modificar configuraciones e incluso utilizar las cuentas para estafas o campañas engañosas.

Cómo proteger su cuenta y evitar ser víctima

Aunque Meta aseguró que la vulnerabilidad ya fue corregida, el caso dejó en evidencia los riesgos de delegar procesos críticos a sistemas automatizados sin controles robustos.

Para reducir el riesgo, los expertos recomiendan activar la autenticación en dos pasos mediante aplicaciones especializadas, evitar el uso de contraseñas repetidas y mantener el correo electrónico principal fuera del alcance público.

También es clave revisar periódicamente las sesiones activas, cerrar accesos desconocidos y guardar códigos de recuperación en un lugar seguro. En caso de actividad sospechosa, se recomienda actuar de inmediato y evitar gestionar cambios sensibles exclusivamente a través de chatbots.

Este episodio marca un precedente en ciberseguridad, el objetivo ya no siempre es el usuario, sino los sistemas inteligentes que lo protegen y cuando esos sistemas fallan, el impacto puede ser masivo.