Un fallo importante en la infraestructura de Instagram permitió durante meses que atacantes sin autenticar accedieran a publicaciones privadas —incluidas imágenes en alta resolución y sus descripciones— sin necesidad de iniciar sesión ni de mantener relación alguna con las cuentas afectadas. Así lo revela una divulgación técnica publicada esta semana por el investigador de seguridad Jatin Banga, que destapa un fallo en los controles de autorización del lado del servidor y cuestiona la gestión del incidente por parte de Meta.
El problema, parcheado de forma silenciosa a finales del año pasado, afectaba a la versión web móvil de la plataforma y no estaba relacionado con un simple error de caché, como inicialmente sostuvo la compañía. Según el análisis, se trataba de un fallo lógico en los mecanismos que determinan qué datos puede recibir un usuario no autenticado cuando solicita el perfil de una cuenta privada.
El mecanismo “Polaris”: cuando la privacidad falla en el backend
Banga bautizó el vector de ataque como “Polaris”, en referencia al objeto interno que contenía la información filtrada. El exploit se basaba en el envío de una petición HTTP GET a la URL de un perfil privado (instagram.com/<usuario_privado>) acompañada de una combinación específica de cabeceras que emulaban un navegador móvil.
Bajo condiciones normales, cuando un usuario no autenticado intenta acceder al perfil de una cuenta privada, el servidor devuelve una respuesta limitada, sin contenido alguno del timeline. Sin embargo, en los casos vulnerables, la respuesta HTML incluía un objeto JSON denominado polaris_timeline_connection con un array completo de elementos (edges) que contenía enlaces directos a la red de distribución de contenidos (CDN) de Instagram, así como los textos asociados a cada publicación.
El flujo del ataque era relativamente sencillo desde el punto de vista técnico:
-
El atacante enviaba una solicitud GET manipulando las cabeceras de User-Agent para simular un entorno móvil concreto.
-
El servidor respondía con una página que incluía datos JSON incrustados.
-
Dentro del objeto polaris_timeline_connection, se localizaba el array edges.
-
A través de los enlaces CDN expuestos, se accedía directamente a las imágenes en alta resolución y a sus descripciones, eludiendo por completo los controles de privacidad.
No se requería autenticación, cookies válidas ni relación previa con la cuenta objetivo. Bastaba con conocer el nombre de usuario y reproducir la configuración de cabeceras adecuada.
Fallo parcheado con retraso
La cronología del caso añade un componente de controversia. El investigador notificó el fallo a Meta a través de su programa de recompensas por errores el 12 de octubre de 2025, aportando pruebas de concepto, capturas de tráfico y un vídeo demostrativo.
La primera respuesta de la compañía descartó el problema, atribuyéndolo a un supuesto error de caché en la CDN. Sin embargo, días después, el propio equipo de seguridad solicitó cuentas concretas para intentar reproducir el fallo. El 14 de octubre, Banga facilitó una cuenta privada de un tercero que había dado su consentimiento y en la que el exploit funcionaba de manera consistente.
Dos días más tarde, el 16 de octubre, el vector de ataque dejó de funcionar en todas las cuentas que anteriormente eran vulnerables, lo que apunta claramente a la aplicación de un parche en el backend. No obstante, Meta no informó al investigador de ninguna corrección ni reconoció oficialmente la existencia del fallo.
Uno de los aspectos más preocupantes del hallazgo es su carácter no determinista. En las pruebas realizadas por el investigador, aproximadamente el 28 % de las cuentas privadas analizadas eran vulnerables, mientras que el resto devolvían respuestas seguras. Este comportamiento sugiere la existencia de un estado específico en el backend —posiblemente relacionado con la gestión de sesiones, caché o replicación de datos— que activaba el fallo de autorización.
