https://www.0xsid.com/blog/meta-account-takeover-fiasco
https://www.0xsid.com/blog/rss.xml
Ayer (1 de junio de 2026), varias cuentas de Instagram fueron hackeadas, incluyendo cuentas de alto perfil como la cuenta de la Casa Blanca de Obama. Y el método que usaron los atacantes es tan tonto que casi da risa.
Paso 1: El atacante solo necesitaba tu nombre de usuario. Luego se conectaba con una VPN cerca de tu ciudad para no levantar sospechas, y le decía al soporte de IA de Meta que la cuenta había sido hackeada, pidiéndole que enviara los códigos de verificación a un correo que él controlaba.
Paso 2: Eso es todo. Aparentemente no hay ninguna verificación de si el correo dado es uno que el usuario haya usado antes. Una vez que la IA mandaba el código al correo del atacante, él lo usaba para completar la verificación y Meta le daba un link para resetear la contraseña.
En resumen: le pedías amablemente a la IA de soporte que cambiara el correo vinculado… ¡y lo hacía sin verificar nada!
No sirve de nada. El sistema trata este proceso como un reseteo total de la cuenta por el “verdadero” dueño, así que el 2FA original queda completamente bypasseado. Las sesiones existentes se revocan y la contraseña cambia sin ninguna notificación al dueño real por email, SMS o push. El dueño legítimo no puede recuperar la cuenta porque el email y teléfono ya apuntan al atacante.
A veces la IA de Instagram pedía un selfie en video para verificar identidad, pero no era muy exigente: reportes generalizados indican que una foto pública del perfil animada con IA era suficiente para engañarla.
Grupos de Telegram en el mercado negro ofrecían servicios de robo de cuentas a precios elevados. Cuentas con handles cortos como hey fueron robadas y revendidas, y otras usadas para propaganda, como obamawhitehouse o la cuenta del Sargento Mayor del Cuerpo Espacial de EE.UU.
Sí, Meta al parecer ya lo parcheó, pero el método estuvo activo durante semanas o incluso meses.
El hecho de que una empresa valuada en 1.5 billones de dólares no tenga salvaguardas robustas y su IA de soporte cambie el correo vinculado de cualquier cuenta con solo pedírselo amablemente es, al mismo tiempo, aterrador y gracioso.
Es básicamente una IA que confiaba demasiado en el usuario sin verificar nada. Un fallo de seguridad de manual, de los más básicos que existen. 😅