Meta informó a las autoridades estadounidenses que una vulnerabilidad en su sistema High Touch Support (HTS), utilizado para la recuperación de cuentas de Instagram, permitió que terceros no autorizados realizaran restablecimientos de contraseñas y accedieran potencialmente a 20.225 cuentas entre abril y mayo de este año.
Meta notificó a la Oficina del Fiscal General del estado de Maine que una vulnerabilidad en una herramienta de recuperación de cuentas de Instagram fue explotada por terceros no autorizados, afectando potencialmente a 20.225 usuarios. El incidente involucró al sistema High Touch Support (HTS), una plataforma asistida por inteligencia artificial diseñada para ayudar a personas que habían perdido acceso a sus cuentas.
Según la notificación oficial presentada por la compañía, la vulnerabilidad fue descubierta el 31 de mayo de 2026. El problema permitía que un solicitante proporcionara una dirección de correo electrónico distinta a la asociada legítimamente con una cuenta de Instagram y recibiera un enlace válido para restablecer la contraseña. De esta forma, los atacantes podían obtener acceso a cuentas cuyos propietarios no tenían habilitada la autenticación multifactor.
Meta explicó que “La herramienta en sí funcionó correctamente y según lo previsto; sin embargo, debido a un error en una ruta de código independiente, el sistema no verificó correctamente que la dirección de correo electrónico proporcionada por la persona que solicitaba el restablecimiento de contraseña coincidiera con la dirección de correo electrónico asociada a la cuenta de Instagram de ese usuario”.
La empresa señaló que, como consecuencia de este fallo, “el sistema envió incorrectamente un enlace de restablecimiento de contraseña a esa dirección no asociada en lugar de rechazar la solicitud”. Una vez modificada la contraseña, el tercero no autorizado podía iniciar sesión en la cuenta afectada si el usuario no había activado 2FA.
La documentación presentada por Meta indica que la actividad maliciosa se habría producido entre el 17 de abril y el descubrimiento del problema a finales de mayo. La compañía indicó que no dispone de información que confirme qué datos específicos fueron consultados por los atacantes. Sin embargo, advirtió que las cuentas comprometidas podían contener información de perfil, direcciones de correo electrónico, números telefónicos, fechas de nacimiento, mensajes directos, publicaciones, historial de actividad y servicios vinculados.
Tras detectar el incidente, Meta deshabilitó completamente HTS, invalidó todos los enlaces de restablecimiento generados por el sistema afectado y aplicó medidas de protección sobre las cuentas potencialmente comprometidas. Además, la empresa forzó nuevos cambios de contraseña y procesos de reautenticación para los usuarios impactados.
La compañía también informó que “antes de relanzar la herramienta, Meta corregirá la verificación de autenticación en el punto de entrada de recuperación de Instagram para garantizar la validación adecuada de las direcciones de correo electrónico frente a la información existente de la cuenta”. Paralelamente, anunció una revisión de procesos similares de recuperación de cuentas en otras plataformas de la empresa.
Además, un portavoz de la empresa indicó que “en cuanto sea posible, Meta tiene previsto enviar notificaciones a los usuarios potencialmente afectados para informarles de este incidente, recomendarles que revisen la configuración de seguridad de su cuenta y que activen la autenticación de dos factores (2FA)”.