Un enorme tesoro de datos de usuarios de Instagram volvió a salir a la superficie hace unos días, y colocó a millones de cuentas de nuevo en el punto de mira más de un año después de que se pensara que la filtración original estaba muerta y enterrada.
Aproximadamente 17,5 millones de cuentas están atrapadas en esta última ola después de que los datos comenzaran a circular en un notorio foro de hacking a principios de enero de 2026. Según una alerta de seguridad de Malwarebytes, un hacker que usa el nombre de usuario «Solonik» es el responsable de la filtración. Aunque esto pueda parecer una nueva brecha de seguridad, los expertos afirman que los datos en realidad provienen de un error de 2024: una API de Instagram mal configurada que permitió a los malintencionados extraer grandes cantidades de información de perfil antes de que Meta pudiera tapar el agujero.
Cuando esto ocurrió por primera vez, los atacantes podían recopilar datos en silencio durante meses. Finalmente, la base de datos desapareció de la dark web, pero su repentino regreso resulta ser una realidad frustrante de la era digital: una vez que tu información está ahí fuera, está ahí para siempre.
El «kit de doxxing» reutilizado es especialmente desagradable porque es muy detallado
No solo tiene nombres de usuario; Incluye nombres completos, direcciones de correo electrónico, números de teléfono e incluso direcciones físicas de su domicilio. Esto es una mina de oro para los ciberdelincuentes porque les permite superar el spam genérico y lanzar ataques increíblemente convincentes y dirigidos. Malwarebytes ya está experimentando un aumento de estafadores que se hacen pasar por soporte de Instagram para atraer a la gente y que entregue sus datos de acceso.
Sin embargo, la parte más ingeniosa de este ataque es la estafa de restablecimiento de contraseña. En lugar de enviar un correo falso y sospechoso, los hackers en realidad están activando solicitudes reales de restablecimiento de contraseña desde los propios servidores de Instagram. Recibes un correo electrónico legítimo de una dirección «meta.com» o «instagram.com», entras en pánico pensando que hay alguien en tu cuenta y, en ese momento de confusión, es mucho más probable que cayas en un mensaje o llamada de phishing de seguimiento.
¿Qué pasó?
Numerosos usuarios en X, incluido el fundador de HaveIBeenPwned Troy Hunt, y Reddit, compartieron capturas de pantalla de un correo sospechoso de restablecimiento de contraseña de Instagram en su bandeja de entrada. Por otro lado, la empresa de ciberseguridad Malwarebytes compartió que los hackers robaron datos personales de millones de usuarios, y que los datos (que incluyen nombres de usuario, direcciones físicas, números de teléfono y correos electrónicos) fueron listados para la venta en la dark web.
Instagram dice que ha solucionado el problema y que los usuarios pueden ignorar esos correos fácilmente. «Solucionamos un problema que permitía a una parte externa solicitar correos de restablecimiento de contraseña para algunas personas», compartió la empresa en X. Además, la empresa negó cualquier caso de brecha de datos que pudiera haber expuesto datos personales de usuarios.
Sin embargo, te recomendamos que cambies la contraseña de Instagram desde el centro de cuentas de la app, especialmente si no has configurado la autenticación en dos pasos para iniciar sesión.
¿Cómo mantenerse seguro?
Los estafadores suelen hacerse pasar por empresas o incluso apoyar a ejecutivos para atraer a los usuarios a compartir su información personal. La reciente oleada de correos de restablecimiento de contraseña enviados a usuarios de Instagram es una de esas estrategias. Los enlaces compartidos en estos correos suelen llevar a los usuarios a páginas donde los hackers suplantan una página web legítima o han montado otras trampas digitales para extraer información sensible como credenciales de acceso, datos de tarjetas de crédito y más.
El primer paso es comprobar la dirección de correo electrónico del remitente y buscar cuidadosamente cualquier error ortográfico extraño. Lo mejor es verificar estas direcciones de correo electrónico con la página oficial de soporte de una empresa o servicio. Segundo, busca una marca azul en el correo. Las empresas legítimas, incluido Instagram, usan estas marcas de verificación junto a la dirección de correo electrónico.
Como regla estándar, nunca hagas clic en enlaces o botones de esos correos con contraseña a menos que estés seguro de la identidad del remitente. Además, asegúrate de que tus cuentas estén protegidas mediante autenticación multifactor o de dos pasos. El uso de llaves de acceso es una de las opciones más cómodas y seguras, ya que bloquea la verificación de identidad tras comprobaciones biométricas, como el desbloqueo de rostro y huella dactilar.
