En las últimas horas comenzó a circular en internet una base de datos con información vinculada a más de 17 millones de cuentas de Instagram, lo que encendió las alarmas en redes sociales y foros de ciberseguridad. La magnitud del archivo y su rápida difusión llevaron a hablar de un posible ataque masivo a la plataforma, aunque desde Meta salieron a desmentir cualquier tipo de intrusión en sus sistemas.
El revuelo se amplificó luego de que la firma de seguridad Malwarebytes publicara una advertencia sobre la circulación de datos asociados a unos 17,5 millones de perfiles. A partir de ahí, distintos reportes comenzaron a señalar que la información ya estaba disponible en foros frecuentados por ciberdelincuentes, lo que generó preocupación entre los usuarios de la red social.
Meta niega un hackeo
Desde Meta explicaron que no hubo un hackeo de Instagram ni una brecha directa en su infraestructura. Según la compañía, lo que ocurrió fue la explotación de un error ya corregido que permitía a terceros enviar solicitudes masivas de restablecimiento de contraseña. Como consecuencia, algunos usuarios recibieron correos electrónicos o mensajes SMS con códigos de recuperación sin haber iniciado ese proceso, una situación que alimentó las sospechas de un ataque mayor.
La empresa aclaró que este problema no implicó el acceso no autorizado a las cuentas ni a los sistemas internos de Instagram. De acuerdo con su versión, los perfiles siguen protegidos y el fallo fue solucionado una vez detectado. Sin embargo, la existencia de la base de datos filtrada volvió inevitable el debate sobre el origen real de la información expuesta.
Ciberdelincuentes contentos
El archivo en cuestión incluiría datos de 17.017.213 perfiles. En muchos casos solo aparecen el nombre de usuario y el ID de Instagram, mientras que otros archivos suman información más sensible como nombre completo, dirección de correo electrónico, número de teléfono e incluso direcciones físicas. Según los reportes, solo unas 6,2 millones de cuentas tendrían email asociado y alrededor de 3,5 millones incluirían números de teléfono. No se habrían filtrado contraseñas.
Este punto es clave para dimensionar el impacto real del incidente. La ausencia de contraseñas reduce el riesgo inmediato de accesos directos, pero la exposición de datos personales sigue siendo relevante, ya que puede facilitar campañas de phishing, suplantación de identidad o intentos de fraude más elaborados.
Esto ya paso
El caso de Instagram recuerda, a LinkedIn en 2021, cuando se difundió una base de datos con información de más de 500 millones de usuarios. En ese momento, la empresa también negó un hackeo directo y explicó que los datos se habían obtenido mediante scraping, es decir, recolectando información pública de los perfiles a gran escala. Si bien no se filtraron contraseñas, la combinación de nombres, correos y números de teléfono generó un fuerte debate sobre hasta qué punto los datos públicos dejan de serlo.
Otro antecedente similar es el de Facebook en 2019, cuando apareció online una base con más de 400 millones de registros vinculados a usuarios de la plataforma. En ese caso, la información, que incluía IDs, números de teléfono y nombres, no provenía de un ataque clásico, sino de una mala configuración en servidores de terceros. Al igual que ahora con Instagram, la compañía sostuvo que sus sistemas no habían sido vulnerados, y el impacto reputacional fue significativo y reavivó las críticas sobre la gestión de datos personales.
Más atrás en el tiempo, pero con consecuencias mucho más graves, está el caso de Yahoo, que entre 2013 y 2014 sufrió una de las mayores brechas de la historia, con prácticamente todas sus cuentas comprometidas. A diferencia de la situación actual, allí sí hubo acceso no autorizado a los sistemas internos y se filtraron datos críticos, incluidas contraseñas cifradas.
