### La falla en la recuperación de cuentas asistida por IA El incidente, que **Meta** descubrió el 31 de mayo de 2026 y que probablemente comenzó tan pronto como el 17 de abril, vio a actores de amenazas aprovechar una falla crítica de diseño en la herramienta **High Touch Support (HTS)** de **Instagram**. Este sistema asistido por IA está diseñado para ayudar a los usuarios a recuperar el acceso a cuentas bloqueadas. Sin embargo, un error en una ruta de código separada impidió que **HTS** verificara adecuadamente que una dirección de correo electrónico proporcionada para una solicitud de restablecimiento de contraseña estuviera realmente asociada con la cuenta de **Instagram** objetivo. Esta omisión permitió a terceros no autorizados solicitar enlaces de restablecimiento de contraseña para cuentas que no poseían, dirigiendo estos enlaces a sus propias direcciones de correo electrónico. Al recibir y utilizar estos enlaces, los atacantes podían iniciar sesión y secuestrar cuentas donde la autenticación de dos factores (2FA) no estaba habilitada. **Amber Hannah**, consejera general asociada de **Meta** para asuntos legales de respuesta a incidentes, detalló la vulnerabilidad en una notificación de violación de datos presentada ante la **Oficina del Fiscal General de Maine**. Explicó: "La herramienta en sí funcionó correctamente y según lo previsto; sin embargo, debido a un error en una ruta de código separada, el sistema no verificó adecuadamente que la dirección de correo electrónico proporcionada por el individuo que solicitaba un restablecimiento de contraseña coincidiera con la dirección de correo electrónico asociada con la cuenta de **Instagram** de ese usuario". ### Alcance y posible exposición de datos Inicialmente, los informes indicaron un problema generalizado, y **Meta** confirmó que 20,225 usuarios de **Instagram** tuvieron sus cuentas comprometidas. Para los usuarios dentro de la jurisdicción de Maine específicamente, **Meta** informó que 30 cuentas se vieron afectadas.  Si bien **Meta** declaró que no tiene información definitiva sobre qué datos personales fueron accedidos o robados, la naturaleza del secuestro de cuentas significa que los atacantes obtuvieron acceso potencial a una amplia gama de información sensible. Esto incluye detalles de contacto (correo electrónico y/o número de teléfono), fechas de nacimiento, todas las publicaciones y contenido de redes sociales (fotos, videos, historias), mensajes directos y comunicaciones, actividad de la cuenta, información del perfil (biografía, foto de perfil) y cualquier otra cuenta conectada o servicios vinculados. ### Respuesta y remediación rápidas de Meta Al descubrir el exploit, **Meta** actuó rápidamente para contener la brecha. La compañía deshabilitó el sistema de soporte **HTS** impulsado por IA y anuló todos los enlaces de restablecimiento de contraseña generados por el proceso defectuoso, bloqueando efectivamente los intentos de secuestro posteriores. **Andy Stone**, vicepresidente de comunicaciones de **Meta**, confirmó públicamente la resolución, declarando que "el problema se ha resuelto y estamos asegurando las cuentas afectadas". Todas las cuentas potencialmente comprometidas fueron inscritas en un punto de control de seguridad obligatorio, lo que requirió que los usuarios afectados restablecieran sus contraseñas y volvieran a autenticarse para recuperar el control. Mirando hacia el futuro, **Meta** se ha comprometido a corregir la verificación de autenticación en el punto de entrada de recuperación de **Instagram** para garantizar una verificación adecuada del correo electrónico antes de relanzar la herramienta. Además, la compañía está llevando a cabo una revisión exhaustiva de flujos de recuperación de cuentas similares en todas sus plataformas para identificar y remediar cualquier otra vulnerabilidad potencial. ### Un patrón de fallas de seguridad Este incidente se suma a un historial de desafíos de seguridad para **Meta**. En años anteriores, la compañía enfrentó multas sustanciales de los reguladores irlandeses. En 2022, **Meta** fue multada con 265 millones de euros (aproximadamente 275.5 millones de dólares) por no proteger los datos de los usuarios de **Facebook** de los scrapers, y una multa anterior de 91 millones de euros (aproximadamente 100 millones de dólares) por almacenar cientos de millones de contraseñas de usuarios en texto plano. Una violación de datos de 2018 también resultó en una multa de 264 millones de dólares, exponiendo detalles personales de más de 29 millones de cuentas de **Facebook**. Estos problemas recurrentes subrayan la necesidad crítica de una vigilancia de seguridad continua, especialmente al integrar sistemas avanzados de IA en procesos sensibles como la recuperación de cuentas.