Bastaba con pedirlo: el asistente de IA de Meta y los secuestros de Instagram
El fin de semana del 30–31 de mayo de 2026, los atacantes secuestraron cuentas de Instagram de alto perfil simplemente pidiéndole al bot de soporte de IA de Meta que vinculara un nuevo correo. Sin inyección de prompt: solo agencia excesiva.
¿Qué es esto?
El fin de semana del 30 y 31 de mayo de 2026, una serie de cuentas de Instagram de alto perfil fueron secuestradas, entre ellas la cuenta inactiva de la Casa Blanca de la era Obama, la del Chief Master Sergeant de la US Space Force John Bentivegna, y la de la investigadora de seguridad Jane Manchun Wong. Varias fueron vandalizadas brevemente con imágenes proiraníes. El denominador común, revelado por 404 Media el 1 de junio de 2026 y corroborado por TechCrunch y Brian Krebs, no fue un exploit de software en el sentido clásico. Los atacantes simplemente le pidieron al asistente de soporte de IA de Meta que lo hiciera.
Como lo resumió Simon Willison, el incidente “apenas califica como inyección de prompt”. No hubo jailbreak, ni carga maliciosa elaborada, ni instrucción oculta. El bot estaba conectado para ejecutar una acción sensible a petición, y lo hizo exactamente — para el solicitante equivocado. Es un caso de manual de agencia excesiva (OWASP LLM Top 10), y un ejemplo temprano y muy público de lo que ocurre cuando se conecta un LLM a un flujo de soporte al cliente privilegiado sin una capa de autorización detrás.
Cómo funciona
La causa raíz es arquitectónica, no una cadena secreta. En marzo de 2026, Meta empezó a desplegar un asistente de soporte de IA en Facebook e Instagram, otorgándole la capacidad de gestionar los flujos habituales de recuperación de cuentas — vincular un correo perdido, activar un restablecimiento de contraseña, verificar la propiedad — para reducir la fricción del soporte humano notoriamente lento de Instagram. El asistente recibió la capacidad de modificar el estado de una cuenta. Lo que le faltaba era una verificación fiable de que la persona en el chat era realmente la propietaria de la cuenta.
Según lo publicado, el flujo era aproximadamente así:
1. El atacante usa una VPN para aparecer cerca de la ubicación
habitual del objetivo (para evitar los controles automáticos
de anomalía geográfica de Instagram).
2. El atacante solicita la recuperación de la cuenta y abre un
chat con el asistente de soporte de IA.
3. El atacante le pide al bot que vincule un NUEVO correo —el
suyo— a la cuenta del objetivo.
4. El bot envía un código de un solo uso al correo controlado por
el atacante.
5. El atacante devuelve el código al bot, que lo trata como prueba
de propiedad y muestra una acción "Restablecer contraseña".
6. El atacante establece una nueva contraseña y deja fuera al
propietario legítimo.El fallo decisivo está en los pasos 3–4: en ningún momento el atacante necesitó controlar el correo ya asociado a la cuenta. El bot aceptó un correo nuevo y no verificado como suficiente para iniciar la recuperación, y luego validó un código que él mismo había enviado a esa misma dirección del atacante — una verificación de confianza circular. El modelo se comportó de forma servicial y coherente; el sistema a su alrededor simplemente no tenía separación entre “un usuario que pide ayuda” y “un propietario de cuenta autenticado”.
Por qué importa
Este incidente es significativo por tres razones más allá del daño inmediato (nombres de usuario cortos y de gran valor, con un valor de reventa supuestamente superior a 500 000 dólares según los canales de Telegram que difundieron el método).
Primero, se generaliza. Meta no es la única que conecta IA conversacional a la recuperación de cuentas. Ian Goldin, investigador de amenazas en Black Lotus Labs (Lumen), declaró a Krebs que “los chatbots de IA crean una superficie de ataque nueva e interesante, y probablemente veremos muchos más ataques de este tipo”. Cualquier plataforma que permita a un LLM ejecutar acciones de cuenta privilegiadas hereda este riesgo.
Segundo, reduce el coste de la ingeniería social. Los agentes humanos también pueden ser convencidos de hacer restablecimientos no autorizados, pero son lentos, limitados y poco consistentes. Un bot siempre disponible, infinitamente paciente y que sigue el mismo flujo cada vez convierte un oficio en un guion — uno que se propagó por Telegram en cuestión de horas.
Tercero, el modelo funcionaba según lo diseñado. No hay nada que “parchear” en el LLM en sí. El fallo es que se colocó un componente no determinista e influenciable en la ruta de confianza de una acción irreversible y de alto impacto. Es un problema de diseño de autorización que ningún endurecimiento de prompt resuelve por completo.
Defensas
Las lecciones son viejos principios de seguridad aplicados a un componente nuevo. Trate a todo agente LLM como un actor no confiable e influenciable, y rodéelo de controles reales.
- Aplique la autorización fuera del modelo. Los cambios de estado sensibles (vincular correo, restablecer contraseña o MFA) deben estar protegidos por controles deterministas en el código de la aplicación — prueba de control del factor de recuperación existente — nunca por el juicio del modelo sobre si una petición “parece legítima”.
- Aplique el mínimo privilegio a los agentes. Dele al bot de soporte capacidades de lectura y triaje; encamine cualquier acción irreversible que modifique la cuenta a través de un servicio separado y reforzado, con su propia verificación, o a un humano con pasos de autorización explícitos.
- No deje que el solicitante proporcione el canal de verificación. Enviar un código a una dirección nueva, aportada por el atacante, y aceptar ese código como prueba de propiedad es una verificación de confianza circular. Los códigos de recuperación deben ir a un factor preexistente y verificado.
- Mantenga a un humano en el bucle para acciones de alto impacto. Las operaciones irreversibles deben exigir un paso de confirmación fuera de banda que el modelo no pueda satisfacer por sí solo.
- Active una MFA fuerte — y exíjala. Los atacantes indicaron que su método fallaba contra cualquier cuenta con MFA activada. Incluso los códigos de un solo uso por SMS lo bloqueaban; las passkeys o las llaves de seguridad de hardware son más robustas. Las plataformas deberían tratar la MFA como un cerrojo estricto en los flujos de recuperación, y los usuarios deberían activar el factor más robusto disponible.
Estado
| Elemento | Referencia | Fecha | Notas |
|---|---|---|---|
| Despliegue del asistente de soporte de IA | Varias fuentes | 2026-03 | Bot con capacidad de restablecer contraseñas / mantener cuentas |
| Método difundido en Telegram | Krebs on Security | 2026-05-31 | Canales proiraníes publican un vídeo paso a paso |
| Revelación pública | 404 Media | 2026-06-01 | Verificada por varios medios |
| Corroboración | TechCrunch | 2026-06-01 | Confirmado que el buzón del atacante recibió el código |
| Corrección reconocida | Andy Stone, portavoz de Instagram | 2026-06-01 | ”El problema ya está corregido”; parche de emergencia durante el fin de semana; sin base de datos back-end comprometida según los informes |
El asistente de soporte de IA de Meta no fue víctima de un jailbreak. Se le pidió, educadamente, que hiciera algo que nunca debió poder hacer sin autenticación. A medida que más plataformas confían sus flujos de recuperación de cuentas a agentes conversacionales en 2026, la conclusión es contundente: un LLM no es una frontera de autorización, y la disposición a ayudar no es verificación de identidad.
Sources
- → https://www.404media.co/hackers-simply-asked-meta-ai-to-give-them-access-to-high-profile-instagram-accounts-it-worked/
- → https://techcrunch.com/2026/06/01/hackers-hijacked-instagram-accounts-by-tricking-meta-ai-support-chatbot-into-granting-access/
- → https://krebsonsecurity.com/2026/06/hackers-used-metas-ai-support-bot-to-seize-instagram-accounts/
- → https://simonwillison.net/2026/Jun/1/hackers-simply-asked-meta-ai/