Meta ha confirmado esta semana la existencia de un fallo de seguridad en Instagram que permitió a actores externos generar correos de restablecimiento de contraseña para cuentas de usuarios, aunque ha negado de forma tajante que se haya producido una brecha en sus sistemas o una filtración masiva de datos personales. El incidente, revelado inicialmente por la firma de ciberseguridad Malwarebytes, vuelve a poner en el foco la exposición de millones de usuarios a ataques de ingeniería social y el eterno debate sobre la protección real de la información en las grandes plataformas digitales.
La polémica estalló el pasado viernes, cuando Malwarebytes publicó un comunicado en el que aseguraba que “ciberdelincuentes habían robado información sensible de 17,5 millones de cuentas de Instagram”, incluyendo nombres de usuario, direcciones físicas, números de teléfono, correos electrónicos y otros datos personales. Según la compañía, la información procedía de un volcado de bases de datos que circulaba en entornos clandestinos y que estaría vinculado a un abuso del sistema de recuperación de contraseñas de la red social.
Como prueba, la firma de seguridad difundió la captura de un correo legítimo de restablecimiento de contraseña enviado por Instagram, lo que apuntaba a que terceros habían logrado automatizar solicitudes masivas de cambio de clave, un vector habitual para campañas de phishing, secuestro de cuentas y recopilación de información sobre usuarios activos.
La respuesta de Instagram: “No hubo brecha”
Un día después de que trascendiera la alerta, Instagram reaccionó públicamente con un mensaje en el que reconocía el fallo técnico, pero trataba de desactivar cualquier alarma sobre una intrusión real en sus sistemas.
“Hemos corregido un problema que permitía a una parte externa solicitar correos de restablecimiento de contraseña para algunas personas. No se ha producido ninguna brecha en nuestros sistemas y las cuentas están seguras. Podéis ignorar esos correos. Lamentamos la confusión”, señaló la compañía en un comunicado difundido el sábado.
La declaración es clara en dos puntos clave: existía una vulnerabilidad funcional que podía ser explotada para generar correos de recuperación, pero no se produjo acceso no autorizado a las bases de datos internas ni robo directo de información desde la infraestructura de Meta.
En términos técnicos, la diferencia es sustancial. Un abuso del mecanismo de “password reset” puede servir para validar la existencia de cuentas, lanzar campañas de suplantación o forzar a usuarios a interactuar con enlaces maliciosos, pero no implica necesariamente que los atacantes hayan extraído datos desde los servidores de la plataforma.
El fantasma de los 17 millones de registros
Sin embargo, el contexto en el que se produce el incidente complica la narrativa oficial. En foros de filtraciones como BreachForums, un usuario publicó recientemente un conjunto de datos que supuestamente contiene información personal de más de 17 millones de cuentas de Instagram, asegurando que procede de una fuga en la API de la red social detectada en 2024.
Fuentes cercanas al análisis de estas filtraciones apuntan a que la referencia de Malwarebytes podría estar vinculada a este volcado, más que a un acceso directo logrado a través del fallo de restablecimiento de contraseñas ahora reconocido por Meta. De ser así, ambos hechos —la existencia de un dataset masivo en circulación y el error en el sistema de recuperación— no tendrían una relación causal directa, aunque sí se solaparían en el tiempo, generando confusión entre usuarios y medios.
Meta, por el momento, no ha confirmado la autenticidad ni el origen de esos datos, ni ha reconocido ninguna fuga histórica relacionada con su API. La compañía mantiene que “no ha habido una violación de sus sistemas” y que la información de los usuarios no ha sido comprometida como resultado del incidente reciente.
