Hackers roban las cuentas de Instagram de Obama y la Casa Blanca aprovechando una vulnerabilidad en el servicio de atención al cliente de Meta AI

Según el 1 de junio, @404 Media@ informó que Meta confirmó que los hackers aprovecharon una vulnerabilidad en sus robots de atención al cliente de IA para tomar el control con éxito de múltiples cuentas conocidas de Instagram. Las cuentas afectadas incluyen la cuenta oficial de la Casa Blanca de la era del expresidente de Estados Unidos, Obama; Sephora, una marca de cosméticos reconocida; y la cuenta oficial del sargento mayor jefe de la Fuerza Espacial de Estados Unidos.

Cadena de ataque paso a paso: cómo se eludió el servicio de atención al cliente por IA

Según un video compartido en Telegram por la comunidad de hackers y expertos en ciberseguridad citados por @404 Media@, este flujo de ataque ya ha sido confirmado：

Suplantación de ubicación: los atacantes usan una VPN para disfrazar la ubicación de la red como la misma región de país que la cuenta objetivo

Envío de solicitud: envían un mensaje al robot de atención al cliente de Meta AI, solicitando vincular la cuenta objetivo a una nueva dirección de correo electrónico proporcionada por el atacante

Recepción del código de verificación: el robot de atención al cliente de Meta AI envía un código de verificación de 8 dígitos a la nueva bandeja de correo proporcionada por el atacante

Finalización de la toma de control: los atacantes introducen el código de verificación en la interfaz de chat para obtener permisos de restablecimiento de contraseña y tomar el control total de la cuenta IG objetivo

La explicación oficial de Meta indica que cuando se cambia el correo electrónico de una cuenta, el sistema debería enviar una notificación al buzón original que incluya un enlace de recuperación especial, pero la vulnerabilidad del robot de atención al cliente de Meta AI impidió que este mecanismo se activara correctamente.

Respuesta oficial de Meta: la vulnerabilidad ya fue reparada; aún no se ha divulgado el número de cuentas afectadas

Meta confirmó que el incidente de ciberseguridad es real, que la vulnerabilidad ya se reparó por completo y que está ayudando a las cuentas afectadas a reforzar la protección. El número total de cuentas afectadas, a la fecha de la publicación, aún no se ha dado a conocer.

El asistente de atención al cliente de Meta AI se lanzó a principios de 2026. Afirmaba que podía ayudar a los usuarios a gestionar solicitudes clave como el restablecimiento de contraseñas y la recuperación de seguridad de cuentas. A los pocos meses de su puesta en marcha, estalló este ataque.

Antecedentes de despidos: se anunció el 20 de mayo de 2026 la reducción de 8,000 empleados

Mark Zuckerberg envió una notificación de despido global a los empleados el 20 de mayo de 2026, recortando aproximadamente 8,000 empleados (10% del total de la plantilla). El objetivo era reducir costos operativos para cubrir un gasto de capital en IA estimado de entre 12,5 mil millones y 14,5 mil millones de dólares, y promover la gestión más plana.

De acuerdo con @Wired@, Meta registró casi 27 mil millones de dólares de ganancias en el primer trimestre de 2026, pero la moral interna de los empleados cayó a su nivel más bajo. Huang Wenjin, al confirmar públicamente el ataque a las cuentas, expresó: «Felicidades a Meta por despedir al equipo de Confianza y Seguridad (T&S) y por trasladar el soporte de cuentas a robots de IA automatizados y fáciles de engañar». Meta no ofreció explicaciones oficiales sobre el tamaño del personal de T&S que fue despedido ni sobre el impacto en su capacidad de ciberseguridad.

Preguntas frecuentes

¿Cuál es el problema central en la vulnerabilidad del robot de atención al cliente de Meta AI?

De acuerdo con el reporte de @404 Media@, cuando el robot de atención al cliente de Meta AI recibe una solicitud de cambio del correo electrónico de una cuenta, envía el código de verificación a una nueva bandeja de correo proporcionada por el atacante, sin forzar la activación de un mecanismo de seguridad para enviar una notificación o un enlace de recuperación al buzón original. En el proceso normal, el cambio de correo debería notificar al buzón original, pero la implementación del servicio de atención al cliente de IA eludió esa verificación.

¿Qué cuentas conocidas confirmaron estar afectadas y Meta publicó el total de cuentas afectadas?

Las cuentas conocidas confirmadas como afectadas incluyen la cuenta oficial de Instagram de la era de la Casa Blanca del expresidente de Estados Unidos Obama; la marca de cosméticos Sephora; y la cuenta oficial del sargento mayor jefe de la Fuerza Espacial de Estados Unidos. Meta confirmó que el incidente de ataque es real, pero al momento del reporte no se había publicado el número total de cuentas afectadas.

¿El plan de despidos de Meta tiene alguna relación directa con este incidente de ciberseguridad?

El ex empleado de Meta, Jane Manchun Wong, señaló públicamente que después de que el equipo de T&S fuera recortado, el soporte de cuentas pasó a ser manejado por robots de IA, y mencionó que esto es uno de los factores de fondo que permitió que el ataque tuviera éxito. Meta no proporcionó una explicación oficial sobre el tamaño específico del personal de T&S que fue despedido ni sobre el impacto de ello en la capacidad general de protección de ciberseguridad.