✨︎ Resumen (TL;DR):
- Hackers tomaron el control de cuentas de Instagram engañando al chatbot de soporte de Meta con inyección de código.
- Un segundo bug expuso correos y teléfonos sin censura de perfiles de alto perfil, incluido el de Mark Zuckerberg.
- Meta parchó ambos problemas de emergencia tras la reventa de cuentas robadas por más de un millón de dólares.
Meta enfrentó una severa crisis de seguridad en Instagram a finales de mayo y principios de junio de 2026, luego de que dos fallas críticas permitieran a hackers secuestrar cuentas de alto perfil mediante su chatbot de inteligencia artificial y, días después, exponer datos personales del propio Mark Zuckerberg.
La primera vulnerabilidad, reportada inicialmente por 404 Media, consistió en un ataque de inyección de prompts contra el asistente de soporte con IA de Meta. El método requirió nula sofisticación técnica: los atacantes simplemente ordenaron al bot asociar un nuevo correo electrónico a la cuenta objetivo.
El sistema de inteligencia artificial obedeció la orden, envió un código de verificación a los atacantes y facilitó el cambio de contraseña. Con este método, los ciberdelincuentes evadieron la verificación de identidad estándar y los sistemas de autenticación de doble factor en múltiples cuentas.
Entre las páginas afectadas destacan el archivo de la Casa Blanca de la era de Obama, la cadena Sephora, el sargento mayor de la Fuerza Espacial de Estados Unidos, John Bentivegna, y la investigadora de ciberseguridad Jane Manchun Wong. Los accesos robados se revendieron en canales de Telegram, acumulando un valor estimado de más de 1 millón de dólares.
El portavoz de Meta, Andy Stone, confirmó en la plataforma X que la vulnerabilidad ya se corrigió: “Este problema ha sido resuelto y estamos asegurando las cuentas afectadas”. Meta lanzó un parche de emergencia para limitar el acceso del bot de IA a las herramientas de cambio de contraseña.
El segundo golpe: Datos de Zuckerberg al descubierto
El 6 de junio de 2026, el investigador de seguridad @Scot0xo descubrió un segundo bug de lógica en la interfaz web para restablecer contraseñas de Instagram. Al iniciar este proceso para cualquier usuario, la plataforma mostraba los correos y teléfonos de contacto completamente legibles, en lugar de censurarlos como hace normalmente.
Capturas de pantalla compartidas por @vxunderground demostraron que la pantalla de inicio de sesión de la cuenta “zuck”, perteneciente a Mark Zuckerberg, reveló múltiples correos electrónicos y su número telefónico real. Meta aplicó un parche de emergencia en cuestión de horas tras hacerse pública la falla.
Inyección de prompts es una técnica de ataque que manipula las instrucciones de una inteligencia artificial para obligarla a ignorar sus reglas de seguridad.
Varios analistas señalaron que estas fallas demuestran los riesgos de dar funciones administrativas de cuentas a sistemas de IA sin controles estrictos de autorización. El investigador ZachXBT criticó duramente la arquitectura de Meta: “El soporte de Meta AI es una basura; tiene toneladas de privilegios de acceso, pero puede restablecer la contraseña de cualquier usuario sin autenticación de dos factores, y ni siquiera verifica quién eres”.
