- Una base de datos con 17,5 millones de cuentas de Instagram está circulando en la dark web con datos personales muy sensibles.
- La filtración, detectada por Malwarebytes, expone correos, teléfonos y direcciones, pero no contraseñas, lo que facilita ataques de phishing e ingeniería social.
- Parte de los datos podría proceder de fallos o abusos de la API de Instagram y técnicas de scraping durante 2024, sin confirmación oficial de Meta.
- Se recomienda cambiar contraseña, activar la autenticación en dos pasos y desconfiar de correos de restablecimiento no solicitados.
La seguridad de Instagram vuelve a estar en el punto de mira tras destaparse una filtración de datos que afecta, según diferentes fuentes de ciberseguridad, a unos 17,5 millones de cuentas en todo el mundo. La base de datos, ya disponible en la dark web, contiene información personal suficiente como para disparar el riesgo de estafas, suplantaciones de identidad y ataques dirigidos.
Aunque no se han filtrado contraseñas, el volumen y el tipo de datos expuestos hacen que muchos usuarios europeos, incluidos los de España, puedan verse envueltos en campañas masivas de phishing y en intentos de secuestro de cuentas. Las autoridades no se han pronunciado de forma específica, y Meta, matriz de Instagram, mantiene un discurso más prudente sobre lo ocurrido.
Qué se sabe de la filtración masiva de Instagram
La alerta saltó cuando Malwarebytes, firma internacional de ciberseguridad, localizó en foros clandestinos una enorme base de datos con información de millones de perfiles de Instagram. El paquete de datos se difundió en espacios como BreachForums, muy frecuentados por ciberdelincuentes para intercambiar y vender información robada.
Según los análisis de diferentes expertos, el archivo contiene 17,5 millones de registros vinculados a cuentas reales. Se trataría de una de las mayores filtraciones asociadas a Instagram de los últimos años, tanto por el volumen de registros como por el tipo de información incluida, que va más allá de simples nombres de usuario.
Algunos investigadores señalan que esta base de datos habría empezado a circular de forma masiva a partir de principios de enero de 2026, pero todo apunta a que su origen real se remonta a incidentes producidos durante 2024, cuando se habrían explotado fallos o usos indebidos de la API y de fuentes públicas.
Mientras tanto, usuarios de numerosos países han informado de oleadas de correos de restablecimiento de contraseña que parecen legítimos y llegan desde los canales habituales de la red social, sin que ellos hayan solicitado esos cambios. Ese comportamiento anómalo ha disparado las dudas sobre si se trata solo de un problema de software o de algo más serio.
Qué datos se han expuesto y por qué son tan delicados
Lo que preocupa especialmente a los especialistas no es solo la cantidad, sino la calidad de la información filtrada. La base incluiría datos de contacto y detalles personales que permiten trazar perfiles bastante precisos de los usuarios afectados.
Entre la información que se ha visto en los archivos compartidos en la dark web aparecen campos como nombre de usuario de Instagram, direcciones de correo electrónico asociadas, números de teléfono y direcciones físicas parciales. En algunos casos también se habrían recopilado otros datos de perfil que facilitan identificar a la persona detrás de la cuenta.
Aunque no se hayan filtrado claves de acceso, esta combinación de datos hace mucho más sencillo ejecutar ataques de ingeniería social. Con un correo electrónico y un número de teléfono verificados, un delincuente puede enviar mensajes que imitan casi a la perfección las notificaciones oficiales de la plataforma, aumentando las probabilidades de que la víctima pique.
Otra preocupación es que parte de la base de datos estaría clasificada por países y por número de seguidores, priorizando perfiles con mayor visibilidad: influencers, creadores de contenido, pequeñas empresas o marcas locales. Para los atacantes, estas cuentas resultan especialmente atractivas, tanto por su alcance como por su valor económico potencial.
En Europa, donde el RGPD impone obligaciones estrictas sobre el tratamiento de datos personales, una filtración de este tipo puede tener implicaciones legales importantes si se confirma que la información procede de algún fallo estructural en servicios vinculados a la plataforma.
Malwarebytes vs Instagram: versiones enfrentadas
En paralelo al hallazgo de la base de datos, Malwarebytes publicó un comunicado en el que explica que los ciberdelincuentes habrían recopilado este volumen de información aprovechando vulnerabilidades y puntos de acceso relacionados con Instagram. La compañía habla de un auténtico «kit» de doxing: un paquete ya listo para que cualquiera pueda acosar, amenazar o estafar a los titulares de las cuentas afectadas.
Según la firma de seguridad, los datos se habrían recolectado durante los últimos meses de 2024 mediante técnicas de scraping, utilizando APIs públicas y diferentes fuentes segmentadas por país. Este enfoque habría permitido construir, poco a poco, un fichero homogéneo con millones de perfiles.
En el lado contrario, Instagram ha restado dramatismo al incidente. La compañía ha reconocido un problema que permitía a terceros generar correos de restablecimiento de contraseña para determinados usuarios, pero insiste en que no ha existido una brecha de sus sistemas internos ni un acceso directo a sus servidores.
En la explicación oficial, la empresa se refiere al incidente como un «problema de software» que ya habría sido corregido, subrayando que las cuentas siguen protegidas y que no hay pruebas de un hackeo en sentido estricto. También ha pedido disculpas por las molestias causadas por esos correos no solicitados.
Esta diferencia de enfoque genera un escenario complejo: mientras Malwarebytes y otros expertos hablan de una filtración masiva y de datos a la venta en la dark web, la red social pone el acento en un fallo en el proceso de envío de emails. A día de hoy, no existe una confirmación pública y detallada por parte de Meta que despeje todas las dudas.
Dónde ha aparecido la base de datos y qué se sabe de su origen técnico
La base de datos fue detectada en foros de ciberdelincuencia como BreachForums, donde un usuario que utiliza seudónimos como “Solonik” o similares habría difundido el paquete, al menos en parte, de manera gratuita. En otros espacios de la dark web también se han observado ofertas donde se comercializan segmentos concretos de la misma base.
Los archivos, según los investigadores, están disponibles en formatos como JSON y TXT, con estructuras muy similares a las respuestas de una API: campos ordenados, valores normalizados y plantillas repetidas. Este detalle refuerza la idea de que la información podría haberse obtenido aprovechando endpoints inseguros o mal configurados, o bien servicios de terceros que interactúan con la API de Instagram.
Entre las hipótesis que barajan los especialistas destacan tres posibilidades: acceso abusivo a APIs públicas diseñado para recopilar datos de forma masiva; errores de configuración en integraciones externas que hubieran dejado expuestos listados con información de usuarios; o una combinación de ambos factores explotada a lo largo de meses.
Algunos analistas vinculan directamente este paquete de datos con incidentes previos reportados en 2024, que ya apuntaban a filtraciones asociadas a servicios conectados con Instagram. La publicación de esta base en 2026 encajaría con la idea de que los atacantes habrían ido acumulando información antes de sacar el «producto» completo al mercado negro.
Por el momento, Meta no ha publicado un informe técnico detallado que aclare cómo se generó exactamente esta base de datos ni si se están notificando de forma individual a los usuarios potencialmente afectados, algo que en Europa puede ser exigible bajo la normativa de protección de datos.
Cómo se está utilizando la información robada
Más allá del mero intercambio de archivos en foros clandestinos, la filtración ya está teniendo consecuencias visibles. Usuarios de múltiples regiones informan de un incremento de correos y mensajes sospechosos relacionados con Instagram, en los que se les insta a cambiar la contraseña o verificar su cuenta.
En muchos casos, estos mensajes imitan con bastante precisión el diseño de los correos oficiales de la red social: logotipos, pie de página, textos similares y enlaces que, a simple vista, parecen legítimos. Es precisamente este grado de detalle el que convierte este tipo de ataques en una amenaza real, incluso para personas con cierta experiencia digital.
Los datos de contacto filtrados permiten además segmentar las campañas de phishing por país, idioma o volumen de seguidores. Un influencer español con cientos de miles de seguidores, por ejemplo, puede convertirse en objetivo prioritario de los atacantes, que buscarán acceder a su cuenta para extorsionarle o vender el acceso a terceros.
Se han detectado también oleadas de solicitudes de restablecimiento de contraseña legítimas, generadas desde los sistemas de Instagram, que se mezclan con correos falsos. Este «ruido» adicional dificulta distinguir qué avisos son realmente necesarios y cuáles forman parte de un intento de estafa.
Aunque por ahora no se ha confirmado un patrón específico en España o en otros países europeos, los expertos recomiendan considerar que cualquier usuario puede ser objetivo, tenga la cuenta más o menos activa, y adoptar una actitud de cautela reforzada ante cualquier mensaje que mencione problemas de seguridad o cambios forzados de contraseña.
Cómo comprobar si tu cuenta está afectada
Para ayudar a los usuarios, Malwarebytes ha habilitado una herramienta gratuita que permite comprobar si una dirección de correo aparece en las bases de datos que la empresa ha catalogado como expuestas. El funcionamiento es relativamente sencillo y puede servir como primer filtro de comprobación.
El proceso consiste en introducir la dirección de e-mail vinculada a tu cuenta de Instagram en el buscador que ofrece la compañía. A continuación, el sistema envía un código de verificación a ese mismo correo para asegurarse de que realmente eres el titular o, al menos, tienes acceso a él.
Una vez validado el código, la herramienta muestra si esa dirección forma parte de alguno de los incidentes de seguridad documentados, incluida la filtración asociada a Instagram. En caso afirmativo, se detalla qué tipo de datos se han visto comprometidos (por ejemplo, correo, teléfono, dirección, etc.) y en qué contexto.
Aunque esta comprobación no sustituye a las notificaciones oficiales que puedan enviar las plataformas, puede servir como indicador útil para decidir si conviene reforzar aún más las medidas de protección, cambiar contraseñas o revisar servicios asociados a ese correo electrónico.
Conviene recordar que, aunque una dirección no aparezca en la base actual, no existe garantía absoluta de que no se haya visto afectada. La recomendación de los especialistas es actuar como si el riesgo fuera real y tomar medidas preventivas igualmente.
Pasos recomendados para proteger tu cuenta de Instagram
Ante un incidente de estas características, las pautas de seguridad son relativamente claras y aplicables tanto en España como en el resto de Europa. La primera medida, casi de manual, es cambiar la contraseña de Instagram desde la propia aplicación o la versión web, evitando siempre acceder a través de enlaces incluidos en correos sospechosos.
Desde la app, el recorrido más habitual pasa por entrar en «Configuración y actividad» > «Centro de cuentas» > «Contraseña y seguridad» > «Cambiar contraseña». Es recomendable escoger una clave larga, con una combinación de letras, números y símbolos, y que no estés reutilizando en otros servicios.
El segundo paso fundamental es activar la autenticación en dos pasos (2FA). Esta capa adicional hace que, incluso si alguien consigue tu contraseña, necesite un código temporal generado por una aplicación de autenticación o método similar para completar el acceso.
Los expertos recomiendan optar por aplicaciones específicas de autenticación (como las que ofrecen proveedores reconocidos) en lugar de confiar únicamente en códigos enviados por SMS, ya que estos últimos son más vulnerables a ciertas técnicas de ataque, como el SIM swapping.
Por último, se aconseja revisar con calma los dispositivos que actualmente tienen una sesión abierta en tu cuenta de Instagram, así como las aplicaciones de terceros a las que has otorgado permisos. Desde la sección de seguridad puedes cerrar sesiones que no reconozcas y revocar accesos que ya no necesites.
Cómo detectar correos falsos y evitar caer en el phishing
En este contexto, los correos electrónicos y mensajes de texto se han convertido en la principal vía de ataque para intentar aprovechar la filtración. Saber identificar un mensaje sospechoso puede marcar la diferencia entre conservar el control de tu cuenta o perderla en cuestión de segundos.
Una regla básica es desconfiar de cualquier correo que te pida introducir tu contraseña o pulsar en un enlace para «verificar» tu cuenta, especialmente si el mensaje llega de forma inesperada. Instagram, como otras plataformas, suele redirigir a la app oficial para operaciones sensibles.
También es importante revisar cuidadosamente la dirección desde la que se envía el correo. Dominios ligeramente alterados, errores tipográficos o cuentas genéricas son signos claros de alarma. En caso de duda, es mejor no tocar ningún enlace y entrar manualmente en la aplicación para comprobar si realmente se requiere alguna acción.
La propia app de Instagram incluye una sección llamada algo parecido a «Correos electrónicos de Instagram», donde se listan las comunicaciones de seguridad recientes enviadas desde la plataforma. Consultar este apartado permite saber si un mensaje que has recibido es auténtico o si, por el contrario, no figura en el historial oficial.
Además, conviene recordar que los ataques no se limitan al correo electrónico. Los ciberdelincuentes también pueden recurrir a mensajes directos dentro de la propia red social, suplantando cuentas verificadas o perfiles aparentemente legítimos para difundir enlaces maliciosos.
Impacto en España y Europa y papel de la normativa de protección de datos
Para los usuarios europeos, incluida la comunidad de Instagram en España, esta filtración tiene también una vertiente legal relevante. El Reglamento General de Protección de Datos (RGPD) establece obligaciones claras para las empresas cuando se produce un incidente que puede afectar a la privacidad de millones de personas.
En situaciones de brecha de seguridad, los responsables del tratamiento de datos deben notificar sin demoras indebidas a las autoridades competentes y, en determinados casos, a los afectados, especialmente si el incidente entraña un alto riesgo para sus derechos y libertades, algo que aquí muchos expertos dan por hecho.
Organismos como la Agencia Española de Protección de Datos (AEPD) y sus homólogos europeos pueden intervenir para recabar información, valorar el impacto real y, si corresponde, imponer medidas correctoras o sanciones. No obstante, este tipo de procesos suelen requerir tiempo y un análisis técnico profundo.
Mientras tanto, la realidad más inmediata para los usuarios es mucho más práctica: proteger sus cuentas y reducir la cantidad de información personal que comparten públicamente. Revisar la configuración de privacidad, limitar la visibilidad de datos como el número de teléfono o la dirección de correo en el perfil y controlar qué se publica puede marcar una diferencia importante.
En un entorno en el que la información personal se ha convertido en una moneda de cambio valiosa en los mercados clandestinos, cada dato que se expone públicamente aumenta la superficie de ataque potencial para los ciberdelincuentes.
El descubrimiento de esta masiva filtración vinculada a Instagram pone de nuevo sobre la mesa la fragilidad de los datos personales en las grandes plataformas y la importancia de combinar las soluciones técnicas de las empresas con hábitos de seguridad más estrictos por parte de los usuarios. Estar atento a correos de restablecimiento no solicitados, revisar con frecuencia la configuración de seguridad y apoyarse en herramientas como la autenticación en dos pasos se ha convertido en algo casi obligatorio para cualquiera que use redes sociales a diario.
