Cientos de cuentas de Instagram quedaron expuestas durante las últimas horas por un ataque que combinó herramientas de inteligencia artificial con debilidades en los sistemas automatizados de recuperación de acceso de Meta.
Entre los perfiles afectados aparecieron cuentas verificadas, usuarios con nombres altamente codiciados dentro de la plataforma e incluso la antigua cuenta de la Casa Blanca utilizada durante la presidencia de Barack Obama.
La vulnerabilidad ya fue corregida por Meta, aunque el episodio trasciende a Instagram: hasta qué punto es seguro dejar procesos críticos de autenticación y recuperación de cuentas en manos de sistemas automatizados.
Según los reportes difundidos por investigadores y usuarios afectados, los atacantes lograron aprovechar una cadena de fallas que les permitió tomar control de cuentas protegidas sin necesidad de conocer contraseñas ni acceder físicamente a los dispositivos de las víctimas.
Cómo funcionaba el ataque
El procedimiento comenzaba con una solicitud de recuperación de cuenta. Para reducir sospechas, los atacantes utilizaban conexiones que simulaban encontrarse en la misma ubicación geográfica que el propietario legítimo del perfil. A partir de allí entraba en escena la inteligencia artificial.
El sistema automatizado de recuperación solicitaba una selfie o una prueba visual de identidad. Los ciberdelincuentes obtenían fotografías públicas de la víctima desde su propio perfil de Instagram y las cargaban en herramientas de generación de video basadas en IA.
Con esas imágenes creaban una animación realista en la que el rostro parecía moverse de manera natural frente a la cámara. Según los reportes publicados por usuarios que siguieron el incidente en tiempo real, el sistema de Meta aceptaba esos videos como si fueran una prueba legítima de identidad.
Una vez superado ese paso, el flujo automatizado permitía avanzar en el proceso de recuperación de la cuenta. Los atacantes conseguían asociar una nueva dirección de correo electrónico al perfil comprometido. Desde ese momento, los enlaces para restablecer la contraseña llegaban a una cuenta de correo bajo su control y el acceso quedaba prácticamente asegurado.
IA para controlar a la IA
La creación de videos falsos mediante inteligencia artificial fue una parte importante del ataque, aunque no fue la única. El episodio también expuso las consecuencias de otorgar demasiada autonomía a sistemas automatizados encargados de gestionar procesos sensibles. Una vez que la verificación era aceptada, gran parte de las acciones posteriores ocurrían dentro de flujos controlados por herramientas automatizadas, con escasa o nula intervención humana.
Varios usuarios afectados denunciaron que, tras perder el acceso a sus cuentas, encontraron enormes dificultades para comunicarse con una persona capaz de revisar el caso. En muchos casos, las respuestas quedaban limitadas a asistentes virtuales y procesos automáticos: una inteligencia artificial utilizada para generar identidades falsas logró convencer a otra inteligencia artificial encargada de validar identidades reales.
Lo que deja este caso para toda la industria tecnológica
Meta confirmó que aplicó una corrección para bloquear el vector de ataque utilizado durante el incidente. Sin embargo, el episodio dejó una advertencia que alcanza a toda la industria.
Cada vez más plataformas utilizan inteligencia artificial para gestionar soporte técnico, recuperación de cuentas, validación de identidad y otros procesos que antes dependían de operadores humanos. La automatización permite reducir costos y acelerar respuestas, aunque también amplía la superficie de ataque cuando los controles no son capaces de detectar manipulaciones generadas por otras herramientas de IA.
El caso mostró un escenario que hasta hace pocos años parecía propio de la ciencia ficción: una inteligencia artificial utilizada por atacantes logró superar los controles de otra inteligencia artificial encargada de proteger las cuentas. La pregunta que deja abierta es cuántos sistemas similares funcionan hoy en otras plataformas y qué tan preparados están para enfrentar este tipo de amenazas.