- Una base con datos de 17,5 millones de cuentas de Instagram se ha publicado y distribuido en la dark web.
- La filtración incluye nombres de usuario, correos, teléfonos y direcciones físicas, pero no contraseñas.
- Malwarebytes destapa el caso, mientras Instagram lo atribuye a un fallo de software sin acceso a sus sistemas.
- Expertos recomiendan cambiar la contraseña, activar la autenticación en dos pasos y extremar la precaución con correos de restablecimiento.
Una filtración masiva en Instagram ha vuelto a encender todas las alarmas sobre la seguridad de los datos personales en redes sociales. Una enorme base con información de millones de usuarios se está moviendo por foros de la dark web, donde ya estaría siendo consultada y utilizada por distintos grupos de ciberdelincuentes.
Según la investigación de la empresa de ciberseguridad Malwarebytes y de varios especialistas del sector, el paquete expuesto reúne datos de aproximadamente 17,5 millones de cuentas de Instagram repartidas por todo el mundo. Aunque no se han filtrado contraseñas, la combinación de correos electrónicos, teléfonos y direcciones físicas supone un caldo de cultivo perfecto para campañas de phishing muy afinadas y posibles intentos de secuestro de cuentas.
Qué se ha filtrado exactamente y cómo se ha descubierto
Lo que ha salido a la luz no es una lista cualquiera, sino una base de datos estructurada que contiene, entre otros elementos, nombres de usuario de Instagram, direcciones de correo asociadas, números de teléfono, direcciones físicas parciales y otros datos de contacto. Todo ello, presentado en formatos como JSON y TXT, con campos ordenados de manera muy similar a las respuestas de una API.
Malwarebytes detectó que este conjunto de información había sido publicado en BreachForums, uno de los foros más conocidos para el intercambio de datos robados. En una de las publicaciones, la base se atribuía inicialmente a un actor que usaba el alias “Solonik”, y se ofrecía acceso gratuito a más de 17 millones de registros de usuarios de distintos países, clasificados incluso por volumen de seguidores.
La firma de seguridad ha explicado que la filtración estaría relacionada con un incidente previo ligado a la API de Instagram, que se habría producido en algún momento de 2024. Esa vulnerabilidad —un ejemplo de problemas de vulnerabilidad y sistemas de seguridad— habría permitido ir recopilando información de perfiles de forma masiva, antes de que el posible fallo fuese corregido.
Algunos expertos, y medios especializados en ciberseguridad, señalan que los datos se habrían obtenido mediante técnicas de scraping a gran escala, apoyadas en APIs públicas o endpoints poco protegidos y en integraciones de terceros mal configuradas. Es decir, no tanto un “hackeo” clásico de entrar en los servidores de Meta, sino una explotación prolongada de puntos de acceso que no estaban debidamente limitados, un riesgo que abordan las medidas de seguridad en las redes sociales.
Las dos versiones enfrentadas: Malwarebytes frente a Instagram
La narrativa sobre lo que ha ocurrido no es única. Por un lado, Malwarebytes sostiene que se han robado datos confidenciales de 17,5 millones de cuentas y que ese paquete se está difundiendo actualmente en la dark web. La compañía subraya que se trata de un “kit de doxing” completo, esto es, un conjunto de información preparado para identificar y exponer a personas concretas, con especial interés en perfiles con muchos seguidores como influencers o cuentas empresariales.
Del otro lado está la versión oficial de Instagram y Meta. La plataforma ha negado que haya habido un acceso no autorizado a sus sistemas internos y ha descrito lo sucedido como un “problema de software” que habría permitido a un tercero solicitar correos de restablecimiento de contraseña para algunas cuentas. En su comunicado, la compañía insiste en que “no se produjo ninguna vulneración de nuestros sistemas y vuestras cuentas de Instagram están seguras”, afirmando que se trató de un fallo ya corregido en el proceso de envío de emails.
La diferencia entre ambas posiciones es notable: mientras Malwarebytes habla abiertamente de filtración masiva de datos y venta en el mercado negro, Instagram reduce el incidente a un error técnico en el sistema de recuperación de cuentas. La realidad, eso sí, es que la base de datos existe, circula por la dark web y coincide con la información que muchos usuarios dicen haber recibido en forma de correos repetidos de cambio de contraseña.
En España y en el resto de Europa, donde el RGPD marca obligaciones estrictas sobre la notificación de brechas, la ausencia de un anuncio formal por parte de Meta mantiene la situación en una especie de limbo. Sin confirmación oficial detallada, pero con pruebas claras de que hay millones de registros dando vueltas, los expertos recomiendan que los usuarios asuman el peor escenario y actúen en consecuencia y sigan guías para proteger tu privacidad online.
Qué tipo de ataques se están viendo y por qué son tan peligrosos
Aunque las contraseñas de Instagram no forman parte de la filtración, los datos expuestos son más que suficientes para montar campañas de ataque muy convincentes. Con el nombre de usuario, el correo exacto y, en muchos casos, el teléfono y la dirección física, los delincuentes pueden diseñar mensajes personalizados de phishing que parecen completamente legítimos.
Uno de los patrones más repetidos es el envío de correos de restablecimiento de contraseña que imitan el formato oficial de Instagram. A veces se mezclan con mensajes auténticos, generados por el propio sistema de la red social, lo que complica todavía más distinguirlos. Los atacantes juegan al despiste: bombardean al usuario con correos de “Olvidé mi contraseña” para que, en mitad del caos, acabe pulsando en el enlace equivocado.
También se han detectado intentos de suplantación de identidad que aprovechan la información filtrada para contactar a posibles víctimas por SMS, correo o incluso llamadas telefónicas. Sabiendo la dirección física o parte de ella, o el país en el que vive una persona, es posible crear mensajes muy creíbles que mencionen supuestas incidencias regionales, cambios legales o verificaciones de seguridad en Europa para dar más peso al engaño.
Todo este contexto reduce drásticamente las barreras para ataques de ingeniería social. No hace falta “romper” las defensas técnicas de Instagram si se logra que el propio usuario entregue las claves de acceso a través de un formulario falso, un enlace acortado o una página que copia la interfaz de inicio de sesión de Meta.
Cómo comprobar si tus datos están afectados por la filtración
Para quienes sospechen que pueden estar entre los 17,5 millones de cuentas afectadas, Malwarebytes ha puesto a disposición del público una herramienta gratuita de verificación. El funcionamiento es sencillo: se introduce la dirección de correo vinculada a la cuenta de Instagram y el sistema comprueba si aparece en alguna filtración conocida, incluida esta.
El proceso se basa en varios pasos encadenados. Primero, el usuario escribe su correo electrónico en el campo de búsqueda habilitado por la compañía. Después, el sistema envía un código de verificación a esa misma dirección para asegurarse de que la persona que consulta tiene control sobre el buzón. Solo al introducir correctamente ese código se muestran los resultados.
Si la herramienta detecta coincidencias, se indica claramente que la información personal ha quedado expuesta, mostrando además en qué incidentes concretos ha aparecido ese email y qué tipo de datos se han visto comprometidos. De esta forma, es posible saber si el riesgo está relacionado exclusivamente con Instagram o si el correo se ha filtrado también por culpa de otras brechas anteriores.
Conviene recordar que este tipo de comprobadores no solucionan el problema por sí mismos, pero sirven para tomar decisiones: cambiar contraseñas, revisar accesos sospechosos o incluso plantearse desvincular ciertas direcciones de servicios que se consideren sensibles.
Medidas prácticas para reforzar tu cuenta de Instagram
Más allá del debate sobre el origen exacto de la filtración, hay una serie de medidas básicas de seguridad que cualquier usuario en España o en el resto de Europa puede y debería aplicar desde ya. La primera es cambiar la contraseña de Instagram directamente desde la aplicación o la versión web, sin seguir enlaces que lleguen por correo electrónico.
En la app móvil, el recorrido pasa por entrar en el perfil, abrir el menú de tres líneas, ir a “Centro de cuentas”, acceder al apartado de “Contraseña y seguridad” y seleccionar “Cambiar contraseña”. En ordenador, el proceso es parecido: desde el menú de configuración se llega al mismo centro de cuentas y se elige la opción para modificar la clave. Lo ideal es establecer una contraseña larga, robusta y exclusiva para Instagram, evitando reutilizarla en otros servicios y no repetir la contraseña más usada.
Otro paso clave es activar la autenticación en dos pasos (2FA). De esta forma, aunque alguien consiga la contraseña, seguirá necesitando un código adicional para entrar. Es preferible usar aplicaciones de autenticación (como Google Authenticator, Authy, Bitwarden o 2FAS) frente al SMS, ya que los mensajes de texto pueden ser interceptados o víctimas de ataques de duplicado de SIM.
Dentro de la misma sección de seguridad es posible revisar los dispositivos y sesiones donde la cuenta está activa. Si aparece algún móvil, tablet u ordenador que no reconoces, se puede seleccionar y cerrar la sesión a distancia, bloqueando así accesos potencialmente peligrosos. Es una comprobación rápida que conviene hacer de vez en cuando, sobre todo si notas correos o notificaciones extrañas.
Por último, merece la pena echar un ojo al apartado “Correos electrónicos de Instagram” que aparece en la configuración. Allí la plataforma lista qué mensajes ha enviado realmente en los últimos días, lo que ayuda a verificar si un correo de seguridad es auténtico o si, por el contrario, se trata de una copia fraudulenta que intenta aprovechar el clima de confusión generado por la filtración.
La situación generada por la filtración masiva en Instagram combina varios ingredientes delicados: una base de datos enorme circulando por la dark web, versiones enfrentadas entre una compañía de ciberseguridad y la propia plataforma, y millones de usuarios expuestos a campañas de phishing cada vez más sofisticadas. Aunque, según los indicios, no se han robado contraseñas ni se ha confirmado un acceso directo a los servidores de Meta, el volumen de información personal filtrada basta para que cualquier descuido pueda terminar en pérdida de cuentas o en problemas de privacidad fuera de la pantalla. Por eso, en este momento lo más sensato es moverse con cautela, desconfiar de correos y enlaces sospechosos y reforzar al máximo las opciones de seguridad disponibles en la propia aplicación.
