Archivo - FILED - 17 May 2016, North Rhine-Westphalia, Duesseldorf: The Instagram logo is seen on an Apple iPhone 6. Photo: Rolf Vennenbernd/dpa - Rolf Vennenbernd/dpa - Archivo
MADRID, 10 Jun. (Portaltic/EP) -
La cantidad de cuentas de Instagram afectadas por la brecha de seguridad en la inteligencia artificial (IA) encargada del restablecimiento de contraseñas de Meta, que en un primer momento se cifró en un total de 20.000, ha ascendido ahora a 34.000 cuentas, aunque Meta sigue apostando por utilizar este sistema.
La semana pasada se conoció que un fallo en el sistema de restablecimiento de contraseña de Meta permitió usar el nuevo asistente de soporte de inteligencia artificial de la compañía, lanzado oficialmente en marzo en Estados Unidos y Canadá, para robar cuentas de Instagram de perfil alto, con solo pedirle al 'chatbot' que cambiara la dirección de correo electrónico asociada a la cuenta objetivo.
Concretamente, el error se debió a un bug en una ruta de código independiente, por el que el sistema no verificaba que la dirección de correo electrónico proporcionada coincidiera con la dirección de correo asociada a la cuenta de Instagram de ese usuario, como explicó la propia Meta en ese momento.
Tras ello, se compartió que el número total de usuarios que se vieron afectados por esta vulneración ascendía a la cifra de 20.225 y fueron, justamente, todos los que no contaban con la autenticación de dos factores (2FA) activada en sus cuentas. Ahora, según documentos internos a los que ha accedido The New York Times, se ha conocido que la cantidad de cuentas afectadas por el mismo fallo ha aumentado a un total de 34.000.
Los documentos también han dejado ver que, entre las 34.000 cuentas afectadas, se encuentran la antigua cuenta de redes sociales de la Casa Blanca del expresidente Barack Obama o la de la compañía de monitorización de seguridad en el hogar SimpliSafe. Asimismo, el medio citado ha confirmado que alrededor de 20.000 de estas cuentas fueron vulneradas con acceso a datos personales, entre los que se incluyen desde la dirección de correo electrónico y el número de teléfono hasta la fecha de nacimiento, entre otros.
Igualmente han podido conocer que los atacantes llegaron a modificar el nombre de usuario de 3.500 cuentas. Esto implica que el 'handler' (nombre de usuario) original quedó liberado y cualquiera pudo registrarlo al instante. Como ha recordado The New York Times, los 'handlers' valiosos -los cortos con millones de seguidores- se convierten en un activo muy lucrativo si se revenden a promotores de criptomonedas u operadores políticos.
Además, se ha de tener en cuenta que, una vez que alguien haya utilizado el 'handler', recuperar la cuenta supone muchas dificultades, ya que Meta no puede devolver el nombre de usuario porque ahora ocupa otra cuenta y exige un proceso más laborioso que un simple reseteo de contraseña.
META APUESTA POR SEGUIR UTILIZANDO SISTEMAS DE IA A PESAR DE ESTE FALLO
Al inicio de conocerse estos incidentes, la compañía aseguró que el fallo no se debió al asistente de IA en sí mismo, sino a que algunas de las comprobaciones internas de 'back-end' fallaron. Asimismo, el portavoz de Meta, Andy Stone, aseguró que ya solucionaron "la causa subyacente".
Ahora, el portavoz de Meta continúa defendiendo estos sistemas, alegando que, gracias a los nuevos programas de soporte potenciados por IA, el número de usuarios que lograron recuperar cuentas hackeadas en Estados Unidos y Canadá aumentó en un 30 por ciento el año pasado, según declaraciones al medio citado.
Asimismo, según los documentos internos, Meta acordó tras el hackeo, "dejar todos los productos de IA activos y solo dejar en pausa el experimento en curso (IG Forgot Password Chat)".
Esta brecha de seguridad ha puesto en evidencia los problemas a los que se enfrentan los agentes de IA, tal como sucedió con Salesloft Drift en agosto de 2025, incidente que afectó a más de 700 organizaciones, entre las que se encontraban empresas de ciberseguridad como Cloudflare, Palo Alto Networks y Zscaler. De hecho, Cloudflare respondió a lo ocurrido con una publicación en su blog. A diferencia del caso de Meta, Salesloft desconectó Drift por completo.