Millones de usuarios de Instagram recibieron en los últimos días una ola de correos electrónicos para restablecer sus contraseñas, luego de que una filtración de datos expusiera información personal vinculada a unos 17,5 millones de perfiles. La brecha fue identificada por la firma de ciberseguridad Malwarebytes, que detectó la publicación del conjunto de datos en foros de la Dark Web, donde se ofrecía de forma gratuita.
Según los especialistas, los registros incluían nombres de usuario, direcciones físicas parciales, números de teléfono, correos electrónicos y otros datos de contacto, aunque no contraseñas. Aun así, advirtieron que esta información puede facilitar fraudes de identidad o intentos de acceso a cuentas mediante ataques de suplantación.
Origen del incidente en Instagram
Malwarebytes vinculó la filtración con una vulnerabilidad en la API de Instagram ocurrida en 2024, que habría permitido a un atacante extraer información sensible de manera masiva. Posteriormente, un usuario identificado como Solonnik publicó la base de datos en BreachForums, lo que desencadenó una oleada de correos automáticos de restablecimiento de contraseña recibidos por afectados en distintos países.
Frente a las denuncias, Meta aseguró que no se produjo una intrusión en sus sistemas y que las cuentas «permanecen seguras». La compañía explicó que «se corrigió un problema que permitía a un tercero solicitar correos de restablecimiento de contraseña para algunos usuarios», y pidió ignorar esos mensajes si no fueron solicitados directamente por el titular de la cuenta.
Riesgos y medidas de prevención
Expertos alertan que la exposición de datos puede servir de base para campañas de phishing o secuestro de cuentas, aprovechando la confusión generada por los mensajes legítimos y falsos. Recomendaron activar la autenticación en dos pasos (2FA), cambiar las contraseñas y revisar los dispositivos con sesión iniciada en el Centro de Cuentas de Meta.
Malwarebytes también sugirió utilizar plataformas de verificación como HaveIBeenPwned.com, que permiten comprobar si una dirección de correo electrónico aparece en bases de datos comprometidas. Aunque Meta negó una violación directa, la coincidencia entre la aparición de los datos y el envío masivo de correos de restablecimiento plantea interrogantes sobre la magnitud del acceso indebido y las medidas de seguridad previas al incidente.
