Hackeo
Redes Sociales
La primera semana de 2026 trajo consigo una lluvia digital inesperada y perturbadora para millones de usuarios tras un presunto hackeo de Instagram. No eran publicaciones ni mensajes, sino una avalancha de correos electrónicos de restablecimiento de contraseña que ellos nunca solicitaron. Lo que comenzó como un goteo de quejas en foros técnicos se convirtió rápidamente en una tormenta perfecta de confusión y alarma, exponiendo la frágil línea que separa un fallo técnico de una brecha de seguridad crítica y desatando un enfrentamiento público entre la plataforma y los investigadores.
El episodio dejó al descubierto una incómoda realidad: en la era de la hiperconectividad, ni siquiera los titanes tecnológicos y sus usuarios pueden ponerse de acuerdo sobre qué es exactamente lo que salió mal, o cuán grave es la amenaza.
La narrativa oficial de la empresa matriz de Instagram, Meta, es de contención y control. Vía Twitter describieron el incidente como “un problema de software que permitió que un tercero solicitara de manera indebida correos electrónicos de restablecimiento de contraseña para un conjunto de cuentas”. La empresa enfáticamente negó cualquier violación de sus sistemas: “No se produjo ninguna vulneración de nuestros servidores. Las cuentas de Instagram están seguras”. El mensaje, que concluyó con una disculpa por las “molestias”, buscaba calmar las aguas atribuyendo el caos a un error, no a un hackeo exitoso a Instagram.
No obstante, desde el mundo de la ciberseguridad independiente emerge un relato radicalmente distinto y con implicaciones de largo alcance. El 9 de enero, la firma de seguridad Malwarebytes publicó un informe detallado que contradice frontalmente la versión de Meta. De acuerdo con sus investigaciones, un grupo de ciberdelincuentes logró exfiltrar un conjunto de datos de aproximadamente 17.5 millones de cuentas de Instagram. Este “kit de doxing”, como lo denominaron los investigadores, no contenía sólo nombres de usuario. Incluía, presuntamente, nombres reales, direcciones físicas, números de teléfono y direcciones de correo electrónico.
Esta divergencia de versiones deja a los más de mil millones de usuarios de la plataforma en un limbo. ¿Fue solo una molesta lluvia de correos, como sostiene Instagram, o la señal de que sus datos personales más íntimos ahora circulan en la dark web, como advierte Malwarebytes? La hipótesis de los expertos es que ambas narrativas podrían estar describiendo, desde ángulos opuestos, una misma operación ofensiva: un ataque automatizado de fuerza bruta que, explotando alguna interfaz o API vulnerable, logró extraer datos y, como efecto secundario visible, generó la tormenta de solicitudes de restablecimiento que alertó a todo el mundo.
Para evitar riesgos de hackeo de las cuentas de Instagram u otra red social, es importante que los propios usuarios se mantengan alertas y realicen acciones para fortalecer la protección de su información. Por ejemplo, es importante no hacer clic en enlaces de correos no solicitados. Lo más seguro es acceder a la aplicación o sitio web directamente, tecleando la dirección manualmente.
También te recomendamos leer: UNAM confirma hackeo a 5 de sus sistemas informáticos
Otra medida preventiva es cambiar la contraseña cada cierto tiempo, siempre desde la aplicación o página oficial. Asimismo, activar la autenticación en dos factores (2FA), preferentemente con una aplicación, como Google Authenticator o Authy. El método vía SMS no es la mejor alternativa, ya que puede ser susceptible a ataques de sim-swapping. Otra acción clave es revisar las sesiones activas de todos los dispositivos que tienen acceso a su cuenta y cerrar aquellos no reconocidos o en desuso.
