Instagram desmiente un fallo de seguridad tras las solicitudes de restablecimiento de contraseñas

Entre las reacciones de usuarios que recibieron inesperados correos electrónicos para restablecer sus claves de acceso, algunos comunicaron que al intentar rechazar la solicitud mediante la opción “háznoslo saber”, la única respuesta obtenida fue un mensaje automático que decía: “gracias, no haremos nada”. Este hecho generó inquietud entre quienes usan Instagram sobre la posibilidad de un incidente de seguridad en la plataforma. Según informó el medio especializado en ciberseguridad Malwarebytes, la situación cobró relevancia pública el viernes pasado, luego de que la empresa reportara en Bluesky la presunta filtración de datos de 17,5 millones de perfiles de Instagram, los cuales incluirían nombres de usuario, domicilios, números de teléfono y correos electrónicos.

Instagram desmintió una vulneración de sus sistemas y aseguró, a través de una publicación realizada en X (antes Twitter), que no se produjo una brecha de seguridad que afectara la protección de las cuentas, negando así los reportes de filtración masiva a los que hacía referencia el reporte de Malwarebytes. Según consignó Instagram, la compañía resolvió la anomalía que permitía a terceros enviar solicitudes para restablecer contraseñas, acción que generó el envío masivo e inesperado de correos a ciertos usuarios.

El mensaje oficial publicado por Instagram sostuvo: “No se produjo ninguna vulneración de nuestros sistemas y vuestras cuentas de Instagram están seguras”. Además, la red social, propiedad de Meta, se disculpó con quienes recibieron estos mensajes no solicitados y recomendó a sus usuarios que ignoren cualquier aviso sospechoso relacionado con el cambio de contraseña.

El funcionamiento de los correos recibidos incluía la estructura habitual de mensajes legítimos de Instagram, con un saludo personalizado y un botón azul para iniciar el proceso de reseteo de la contraseña. El texto explicaba que la clave no se modificaría si el usuario simplemente ignoraba la solicitud y proporcionaba una opción para informar si el mensaje no había sido solicitado. Estas características contribuyeron a la confusión entre los usuarios acerca de la autenticidad del comunicado y la existencia de algún acceso no autorizado a sus perfiles.

De acuerdo con el reporte de Malwarebytes, junto a la notificación del presunto robo de datos se publicó una imagen de uno de estos correos, lo que incrementó la preocupación sobre la fiabilidad de las medidas de seguridad de la plataforma. Las informaciones sobre la filtración circularon en redes sociales y foros de tecnología, alimentando la especulación sobre el posible origen y alcance del incidente.

Meta, matriz de Instagram, optó por no divulgar su comunicación oficial en las otras plataformas de la empresa, como la propia aplicación de Instagram o Threads, limitando la difusión del mensaje tranquilizador a X. Según publicó Malwarebytes, el hecho de restringir la divulgación solo a esa red generó críticas por parte de algunos usuarios que esperaban una respuesta más directa a través de los canales habituales de soporte de Instagram.

El incidente ha reavivado debates sobre la facilidad con la que actores externos pueden explotar funciones existentes de las redes sociales para enviar mensajes legítimos en apariencia, pero motivados por acciones no autorizadas o automatizadas. Según reportó Malwarebytes, la preocupación en torno a la seguridad digital y la gestión de incidentes en plataformas sociales continúa siendo uno de los temas de mayor relevancia tras eventos de este tipo.