Una ola de incertidumbre ha sacudido a los usuarios de Instagram a nivel global tras informes de una filtración masiva que expondría la información personal de aproximadamente 17.5 millones de cuentas. Aunque la plataforma ha negado una vulneración directa en sus servidores, expertos en ciberseguridad instan a tomar precauciones inmediatas.
La alarma se encendió cuando miles de usuarios comenzaron a recibir correos electrónicos legítimos de Instagram para restablecer sus contraseñas sin haberlos solicitado. Esta actividad inusual coincidió con un informe de la firma de ciberseguridad Malwarebytes, que detectó una base de datos circulando en la dark web.
Según las investigaciones, los datos filtrados incluirían: Nombres de usuario y nombres completos, direcciones de correo electrónico, números de teléfono y ubicaciones geográficas parciales.
Expertos señalan que esta información podría provenir de una vulnerabilidad en la API de Instagram detectada originalmente en 2024, la cual habría permitido el “raspado” (scraping) masivo de datos que ahora han sido publicados de forma gratuita en foros de hacking por un actor identificado como “Solonnik”.
La respuesta de Meta (Instagram)
A través de un comunicado oficial emitido este 11 de enero, Meta negó rotundamente que sus sistemas internos hayan sido comprometidos. La empresa explicó que el aluvión de correos de reseteo fue causado por un “tercero externo” que abusó de una función de la plataforma para activar estas solicitudes de forma masiva.
“Hemos solucionado un problema que permitía a un tercero solicitar correos de restablecimiento de contraseña. No ha habido ninguna vulnerabilidad en nuestros sistemas y las cuentas siguen seguras”, afirmó un portavoz de la compañía.
A pesar de la negativa de Meta, servicios como Have I Been Pwned ya han registrado la filtración. El riesgo principal no es el robo directo de la cuenta (ya que las contraseñas no parecen estar en la base de datos), sino el uso de esta información para:
Ataques de Phishing: Correos fraudulentos que parecen oficiales para robar claves reales.
Credential Stuffing: Intentar usar esos correos y teléfonos para entrar en otros servicios donde el usuario repita contraseñas.
Suplantación de identidad: Uso de datos personales para estafas dirigidas.
Recomendaciones de seguridad
Si has recibido correos sospechosos o quieres proteger tu cuenta, los expertos sugieren:
Activar la Autenticación en dos pasos: utiliza aplicaciones de autenticación (como Google Authenticator) en lugar de SMS.
Ignorar correos no solicitados: no hagas clic en enlaces de restablecimiento de contraseña que no hayas pedido. Si deseas cambiar tu clave, hazlo directamente desde la configuración de la app oficial.
Cambiar contraseñas: si usas la misma clave de Instagram en otros servicios, cámbiala de inmediato por una única y robusta.
Lunes 12 de enero de 2026