Un enorme conjunto de datos que contiene información personal de aproximadamente 17 millones de cuentas de Instagram ha aparecido en foros de hackers, provocando correos masivos de restablecimiento de contraseña y generando preguntas sobre la línea entre el “scraping” de datos y las brechas de seguridad.
El 7 de enero de 2026, un actor de amenazas que utiliza el alias “Solonik” publicó un conjunto de datos titulado “INSTAGRAM.COM 17M GLOBAL USERS — 2024 API LEAK” en BreachForums, un infame foro clandestino de hacking. La colección, en formato JSON y TXT, contiene nombres de usuario, nombres completos, direcciones de correo electrónico (de aproximadamente 6.2 millones de cuentas), números de teléfono, direcciones parciales y datos de geolocalización, pero notablemente sin contraseñas.
La empresa de ciberseguridad Malwarebytes descubrió la filtración durante la supervisión rutinaria de la dark web y alertó a los usuarios el 9 de enero. La firma advirtió que los atacantes ya estaban explotando la información para campañas de phishing e intentos de toma de control de cuentas, especialmente mediante el abuso del sistema de restablecimiento de contraseñas de Instagram.
Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. pic.twitter.com/LXvjjQ5VXL
— Malwarebytes (@Malwarebytes) January 9, 2026
Instagram abordó el incidente el 11 de enero a través de su cuenta oficial de X (anteriormente Twitter): “Solucionamos un problema que permitía a un tercero solicitar correos de restablecimiento de contraseña para algunas personas. No hubo violación de nuestros sistemas y tus cuentas de Instagram están seguras. Puedes ignorar esos correos — disculpa por cualquier confusión.”
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
You can ignore those emails — sorry for any confusion.
— Instagram (@instagram) January 11, 2026
Meta sugirió que los datos filtrados representan información antigua obtenida mediante scraping que ha resurgido, en lugar de una intrusión nueva.
Debate sobre scraping vs. brecha
Los investigadores de seguridad siguen divididos sobre cómo clasificar el incidente. Mientras Meta insiste en que no se violaron sistemas, Malwarebytes lo categorizó como una brecha de datos, señalando que información personal sensible circula libremente en foros de la dark web y está siendo activamente utilizada por ciberdelincuentes.
La distinción importa menos a los usuarios afectados que la realidad práctica: su información personal ahora es accesible para actores maliciosos, sin importar cómo se obtuvo. Algunos expertos en ciberseguridad sugieren que los datos podrían originarse de un incidente de scraping de la API de 2022, aunque esto no ha sido confirmado.
Qué datos fueron expuestos
Según múltiples informes que analizaron el conjunto de datos filtrado (no toda esta información está presente para cada registro):
- ID: 17 015 503
- Nombre de usuario: 16 553 662
- Correo electrónico: 6 233 162
- Número de teléfono: 3 494 383
- Nombre: 12 418 006
- Dirección: 1 335 727
Críticamente: no se incluyeron contraseñas en la filtración.
Qué deberías hacer ahora
1. Verifica tu exposición
Visita Have I Been Pwned y busca usando el correo electrónico o número de teléfono vinculado a tu cuenta de Instagram.
2. Activa la autenticación de dos factores
- Abre la app de Instagram > Configuración> Centro de cuentas > Contraseña y seguridad > Autenticación de dos pasos
- Elige una app de autenticación (Google Authenticator, Authy) en lugar de SMS
- El 2FA vía SMS es vulnerable a ataques de intercambio de SIM
3. Actualiza tu contraseña
- Navega a Configuración> Centro de cuentas > Contraseña y seguridad > Cambiar contraseña
- Crea una contraseña fuerte y única (12+ caracteres, combinación de letras/números/símbolos)
- Nunca reutilices contraseñas en distintas plataformas. Usa un gestor de contraseñas como Bitwarden o 1Password
4. Revisa la actividad de inicio de sesión
- Configuración > Centro de cuentas > Contraseña y seguridad > Dónde iniciaste sesión
- Verifica dispositivos o ubicaciones desconocidas
- Cierra sesiones sospechosas de inmediato
5. Ignora los correos de restablecimiento no solicitados
Elimina solicitudes de restablecimiento de contraseña que no hayas iniciado. Realiza cualquier cambio de cuenta directamente desde la app de Instagram, nunca mediante enlaces en correos electrónicos.
6. Mantente alerta ante phishing
La información filtrada permite intentos de estafa altamente dirigidos. Sé sospechoso de:
- Correos o mensajes directos que digan ser de Instagram/Meta
- Solicitudes de códigos de verificación
- Mensajes que mencionen tus datos personales para parecer legítimos
7. Considera monitoreo de crédito
Si se expusieron direcciones parciales, considera colocar una alerta de fraude en las agencias de crédito (Equifax, Experian, TransUnion).
Dato rápido a considerar
Esta no es la primera exposición de datos de Meta. La empresa fue multada con 265 millones de euros en 2022 por una filtración de datos de Facebook de 2021 que afectó a cientos de millones de usuarios. El incidente resalta las tensiones continuas entre cómo las plataformas definen “brechas” y cómo los investigadores de seguridad evalúan el riesgo real para los usuarios.
Meta parece diferenciar entre el acceso no autorizado a sistemas y la recopilación de datos a través de funciones legítimas pero abusadas.
Los profesionales de seguridad se enfocan en el resultado: la información expuesta de los usuarios ahora circula en mercados criminales.
Lunes a domingo: 5:00 am - 8:00 pm (PT)
Dejar un comentario