Compromiso de acceso en cuentas de Instagram por una vulnerabilidad en el sistema automatizado de soporte técnico de Meta

Desde el 17 de abril hasta el 31 de mayo Instagram sufrió un incidente de ciberseguridad. Durante ese periodo, la compañía logró detectar la anomalía de manera oficial. Este suceso se originó debido a la explotación activa de una vulnerabilidad crítica presente en uno de los sistemas internos automatizados que la empresa utiliza para la gestión de usuarios. Durante este intervalo de tiempo, diversos actores maliciosos aprovecharon un fallo de validación en los flujos de trabajo de soporte técnico para comprometer de forma masiva y sistemática el acceso a miles de perfiles personales dentro de la red social.

La vulnerabilidad se debía a un error de código en la herramienta de soporte asistida por inteligencia artificial conocida como "High Touch Support" (HTS), la cual permitía a los ciberdelincuentes solicitar enlaces de restablecimiento de contraseña hacia correos electrónicos externos no asociados originalmente con las cuentas objetivo, facilitando el secuestro de aquellos perfiles que carecían de la autenticación de doble factor (2FA). Según los datos oficiales proporcionados por Meta, un total de 20,225 usuarios de Instagram se vieron afectados globalmente por esta vulnerabilidad, comprometiéndose información confidencial como mensajes directos, datos de contacto, fechas de nacimiento y publicaciones privadas. Como respuesta inmediata tras el descubrimiento del fallo, la empresa procedió a desactivar por completo la herramienta HTS, invalidó todos los enlaces de restablecimiento generados de forma fraudulenta e implementó un punto de control de seguridad obligatorio para forzar a las víctimas a reautenticarse y cambiar sus contraseñas.

En la actualidad, Meta ha declarado oficialmente que el problema técnico de seguridad ha sido resuelto con éxito y que todas las cuentas de Instagram que resultaron afectadas ya se encuentran debidamente aseguradas para evitar cualquier acceso no autorizado continuado. Asimismo, la compañía ha confirmado de manera formal que la herramienta de recuperación asistida por inteligencia artificial permanecerá inactiva hasta que se corrija definitivamente la verificación de autenticación en el punto de entrada de recuperación de cuentas. Por último, la dirección de la empresa ha anunciado que se está llevando a cabo una revisión exhaustiva y completa de todos los flujos de recuperación de cuentas similares a lo largo de todas las plataformas del grupo Meta con el objetivo explícito de identificar y remediar preventivamente cualquier otro problema potencial de la misma naturaleza.