Un iPhone y Meta AI: la fórmula sencilla que permitió hackeos en Instagram

Un iPhone y el asistente de inteligencia artificial de Meta se convirtieron recientemente en la combinación perfecta para ejecutar uno de los hackeos más sencillos y efectivos en Instagram.

Un video divulgado en redes sociales demostró que, con el uso de una VPN y el chatbot de soporte lanzado por Meta en diciembre de 2025, fue posible acceder a cuentas ajenas sin necesidad de tener relación alguna con las víctimas, siempre que no estuvieran protegidas por verificación en dos pasos.

Entre los afectados se encontraron perfiles tan relevantes como la cuenta archivada de la Casa Blanca de la era Obama y la del sargento mayor de la Space Force de Estados Unidos.

Cómo funcionó el hackeo en Instagram usando Meta AI y un iPhone

El método revelado por el video era directo y aprovechaba el proceso estándar de recuperación de cuentas en Instagram. El atacante, utilizando un iPhone y una conexión VPN para simular la ubicación de la víctima, accedía al asistente de soporte automatizado de Meta. El siguiente paso consistía en solicitar al bot que añadiera una nueva dirección de correo electrónico a la cuenta objetivo.

El chatbot de Meta respondía a la petición sin realizar ninguna comprobación sobre la identidad del solicitante. Simplemente enviaba un código de verificación al correo electrónico proporcionado por el atacante, quien lo compartía de inmediato con el bot.

Una vez introducido el código, la interfaz ofrecía la opción de restablecer la contraseña del perfil ajeno, permitiendo así el acceso total a la cuenta comprometida.

Este proceso no demandaba conocimientos técnicos avanzados ni herramientas especializadas más allá de los dispositivos y servicios de uso común. El único requisito de seguridad que podía bloquear el acceso era la autenticación en dos pasos, pero el exploit lograba evadirla en ciertos casos o directamente la ignoraba si estaba desactivada, dejando vulnerables a múltiples usuarios.

Cabe señalar que para las capas de protección basadas en reconocimiento de dispositivos o ubicaciones, la VPN permitía sortear los bloqueos en cuestión de segundos.

Cuáles fueron las cuentas afectadas de Instagram

La filtración de este método permitió el acceso no autorizado a cuentas de alto perfil y a perfiles con nombres de usuario codiciados dentro de la plataforma. Entre los principales afectados se encontró la cuenta de Instagram de la Casa Blanca de la era Obama, que permanecía inactiva desde 2017, y la del sargento mayor John Bentivegna, uno de los máximos representantes de la Space Force estadounidense.

Además, varios usuarios con nombres de usuario cortos o especialmente valiosos sufrieron el robo de sus perfiles. Este tipo de cuentas suele tener una alta cotización en el mercado negro digital, donde se revenden a terceros interesados en poseer identificadores exclusivos o fáciles de recordar.

De acuerdo con lo reportado por 404 Media, canales de Telegram dedicados a la comercialización de servicios ilegales relacionados con Instagram aprovecharon el exploit para obtener ganancias considerables.

La respuesta de Meta y los problemas del soporte automatizado

Tras la viralización del incidente, Andy Stone, vicepresidente de comunicaciones de Meta, anunció en la red social X que la vulnerabilidad había sido resuelta. La empresa cerró el acceso al exploit y comunicó que se encontraba trabajando para restituir la seguridad de las cuentas afectadas.

Sin embargo, la solución técnica no fue suficiente para muchos usuarios perjudicados. Aquellos que perdieron el acceso a sus perfiles durante el fin de semana del ataque se enfrentaron a la paradoja de depender del mismo sistema automatizado que había facilitado el robo.

En numerosos casos, los intentos de recuperación a través del soporte automatizado de Meta resultaron infructuosos, ya que el sistema no ofrecía la posibilidad de contactar directamente con una persona para resolver el problema.

Las fallas de seguridad en los sistemas automatizados

El incidente expuso la fragilidad de los sistemas de soporte basados en inteligencia artificial cuando no existen mecanismos sólidos de verificación de identidad. El asistente de Meta no comprobaba la relación entre el solicitante y la cuenta objetivo, permitiendo que cualquier usuario pudiera modificar los datos de acceso, siempre que tuviera acceso al correo electrónico sugerido.

Además, las barreras geográficas implementadas por Meta, que se basaban en la detección de dispositivos y ubicaciones habituales, resultaron ineficaces frente al uso de una VPN. El sistema de selfies para confirmación de identidad también fue vulnerado mediante el uso de imágenes generadas por inteligencia artificial, lo que permitió a los atacantes superar controles que en principio debían ofrecer mayor seguridad.

La única protección efectiva en la mayoría de los casos fue la autenticación en dos pasos, pero ni siquiera este mecanismo garantizó una defensa absoluta, ya que el exploit logró eludirlo en ciertos escenarios.