El fin de semana pasado, Meta enfrentó un incidente de seguridad que dejó expuesta una vulnerabilidad preocupante: su propio chatbot de inteligencia artificial se convirtió en la puerta de entrada para hackers que querían robar cuentas de Instagram. Y lo mejor (o peor, según se vea) es que no necesitaban tu contraseña ni malware sofisticado para lograrlo.

El ataque explotó un fallo de lógica en el asistente automatizado que Meta integró hace poco en Instagram y Facebook para ayudar con recuperación de cuentas, reportes de fraude y cambios de contraseña. El problema: cuando los atacantes solicitaban cambiar la dirección de correo asociada a una cuenta, el sistema simplemente enviaba un código de verificación sin verificar realmente quién estaba pidiendo el cambio. Una vez tenían ese código, accedían a la bandeja de entrada del usuario, completaban la verificación y tomaban el control total del perfil. Los hackers reforzaban su operación usando redes virtuales privadas (VPN) para falsear su ubicación y pasar desapercibidos ante los sistemas de detección de fraude.

El alcance del hackeo incluyó cuentas de alto perfil como la de Barack Obama (inactiva desde 2017), la cosmética Sephora, un alto funcionario de la Fuerza Espacial estadounidense, y expertos en seguridad informática. Meta confirmó el incidente el lunes y aseguró que "el problema ha sido ya solventado y estamos protegiendo las cuentas afectadas". La compañía aclaró que no hubo brecha en sus servidores internos, solo en la lógica del chatbot. Hasta ahora no ha revelado cuántas cuentas fueron comprometidas en total.

Lo importante ahora es que protejas tu propia cuenta. Lo primero es activar autenticación en dos pasos usando una app como Google Authenticator o Duo Mobile, no SMS. Esto genera códigos que cambian cada 30 segundos y solo existen en tu teléfono físico, así los atacantes no puedan interceptar mensajes. Cuando actives esta función, Instagram te dará códigos de recuperación de respaldo: guárdalos en un lugar seguro fuera de tu celular, como un papel en casa.

También aprovecha la herramienta de "Comprobación de seguridad" que Instagram tiene integrada, donde puedes verificar que tu correo y teléfono sean los correctos, actualizar tu contraseña a algo fuerte (mayúsculas, minúsculas, números, símbolos y única para esta plataforma), y monitorear dónde estás conectado. En tu Centro de cuentas, busca "Dónde iniciaste sesión" para auditar todos los dispositivos que acceden a tu perfil. Si ves una ubicación extraña que no reconoces, puedes cerrar la sesión de forma remota al instante. Estos pasos pueden parecer engorrosos, pero después de un incidente como este, vale completamente la pena.