Malwarebytes alertó sobre una filtración que expuso datos personales de millones de usuarios. Instagram negó una vulneración de sus sistemas y atribuyó el hecho a un error técnico.
Una filtración de datos expuso información personal de 17,5 millones de cuentas de Instagram, según denunció la empresa de software antivirus Malwarebytes. La compañía aseguró que un grupo de ciberdelincuentes robó nombres de usuario, direcciones físicas, números de teléfono y correos electrónicos. Instagram negó una vulneración de sus sistemas y atribuyó el hecho a un “problema de software”.
Durante este inicio de 2026, usuarios comunes y perfiles con gran número de seguidores recibieron solicitudes masivas de restablecimiento de contraseña que aparentaban legitimidad y provenían del canal habitual de la red social. En la mayoría de los casos, los destinatarios no habían solicitado el cambio. El volumen y la frecuencia de los correos generaron alertas y debates en redes sociales.
El 9 de enero, Malwarebytes publicó detalles sobre una filtración de datos que, según sus investigaciones, comprometió a millones de cuentas. La empresa afirmó que un grupo de ciberdelincuentes robó información confidencial de 17,5 millones de perfiles de Instagram. El hallazgo de estos datos en un foro de ciberdelincuencia elevó la alarma, ya que no se trataba de una simple extracción automatizada, sino de un “kit de doxing” completo y funcional.
Las hipótesis sobre el mecanismo del ataque plantearon dos escenarios: un ataque de fuerza bruta automatizado que generaba múltiples solicitudes de cambio de contraseña para sembrar confusión e intentar introducir correos maliciosos, o un reinicio preventivo de contraseñas iniciado por Meta en cuentas consideradas vulneradas.
Instagram respondió a los rumores y sostuvo que el incidente se debió a un “problema de software” que permitía a un tercero solicitar correos electrónicos de restablecimiento de contraseña para algunas personas. La empresa negó un acceso no autorizado a sus servidores o una vulneración de sus sistemas. En su declaración, aseguró: “No se produjo ninguna vulneración de nuestros sistemas y vuestras cuentas de Instagram están seguras”, y pidió disculpas a los usuarios afectados por las molestias.
La diferencia entre ambas versiones es marcada. Malwarebytes describió una filtración masiva y la comercialización de información personal en el mercado negro. Instagram redujo el alcance a un fallo en el envío de correos de restablecimiento, sin consecuencias para la integridad de las cuentas ni para los datos almacenados.
Según Malwarebytes, los datos filtrados incluyen nombres reales, direcciones físicas, números de teléfono y direcciones de correo electrónico. La información se ofrecería en lotes clasificados por país y cantidad de seguidores, con prioridad para cuentas de alto perfil, como las de influencers o empresas. Instagram, en cambio, insistió en que ningún atacante accedió a los servidores ni obtuvo datos desde dentro de la plataforma y que, aunque los usuarios recibieron mensajes no solicitados, las cuentas permanecieron protegidas.
Ante este escenario, la recomendación es actuar con cautela y no interactuar con enlaces recibidos por correo electrónico, aunque los mensajes parezcan auténticos. En caso de recibir una notificación inesperada para restablecer la contraseña, lo más seguro es modificarla directamente desde la aplicación siguiendo la ruta: ‘Configuración y actividad’ > ‘Centro de cuentas’ > ‘Contraseña y seguridad’ > ‘Cambiar contraseña’. Se recomienda elegir una contraseña larga, robusta y exclusiva para Instagram.
También se aconseja activar la autenticación en dos pasos desde el mismo apartado de seguridad y evitar la opción basada en SMS, priorizando aplicaciones de autenticación. Cerrar las sesiones abiertas en todos los dispositivos, revisar la sección ‘Correos electrónicos de Instagram’ y eliminar mensajes sospechosos completa la lista de acciones preventivas. Si se detecta un correo ajeno a los canales oficiales, debe eliminarse y reportarse a la plataforma.
