- Una base de datos con información de 17,5 millones de cuentas de Instagram circula en la dark web, sin incluir contraseñas pero con abundantes datos personales.
- Los registros proceden de respuestas de API y habrían sido recopilados entre 2024 y 2025, con posibles fallos en integraciones y uso masivo de scraping.
- Los ciberdelincuentes ya estarían lanzando campañas de phishing y doxing aprovechando correos de restablecimiento de contraseña y datos segmentados por país.
- Expertos recomiendan cambiar la contraseña, activar la autenticación en dos factores y desconfiar de correos o SMS que pidan credenciales.
Una gigantesca filtración de datos vinculada a 17,5 millones de cuentas de Instagram ha encendido todas las alarmas en el ámbito de la ciberseguridad. La base de datos, con información personal de usuarios de todo el mundo, se está moviendo por foros de la dark web frecuentados por ciberdelincuentes, mientras crece la preocupación por el posible uso fraudulento de esos registros.
Lo que ha destapado el incidente no ha sido un comunicado oficial, sino la aparición silenciosa de millones de registros en mercados clandestinos y un aumento inusual de correos de restablecimiento de contraseña enviados a usuarios que aseguran no haber solicitado ningún cambio. El escenario combina datos filtrados vía API, técnicas de scraping y fallos de integración que, en conjunto, han dejado expuestos perfiles de alto y bajo perfil por igual.
Dimensiones de la filtración y tipo de datos expuestos
Según el análisis de la firma de seguridad Malwarebytes, el paquete detectado incluye información asociada a aproximadamente 17,5 millones de cuentas de Instagram. No se trata solo de identificadores básicos: la base contiene una combinación de datos que, en manos equivocadas, es especialmente delicada.
Entre la información que se ha observado en los archivos publicados en la dark web aparecen nombres de usuario, direcciones de correo electrónico, números de teléfono y direcciones físicas parciales. En algunos casos también figuran datos de ubicación o campos adicionales que permiten perfilar mejor a cada persona, algo particularmente preocupante para cuentas con muchos seguidores, creadores de contenido o perfiles corporativos.
Aunque no se han incluido contraseñas en texto plano, los expertos subrayan que el valor de esta base de datos reside en la facilidad con la que puede servir de base para campañas de phishing dirigido, doxing o robo de identidad. Al contar con correos, teléfonos y ubicaciones, los mensajes fraudulentos pueden ser mucho más creíbles que un spam genérico.
Los registros están organizados en formatos como JSON y TXT, con estructuras muy similares a las respuestas de una API, lo que refuerza la hipótesis de que el origen se encuentre en una combinación de exposición de endpoints, un uso abusivo de APIs públicas y scraping masivo llevado a cabo durante meses.
Cómo y cuándo salió a la luz el paquete de 17,5 millones de cuentas
La filtración se hizo visible cuando el conjunto de datos fue publicado en foros especializados de la dark web, donde se comparten y comercializan bases de datos robadas. Malwarebytes localizó este paquete durante sus tareas rutinarias de monitorización y análisis de amenazas en espacios clandestinos.
Los archivos contienen millones de entradas con campos repetidos y normalizados, tal y como se esperaría de respuestas automatizadas de servicios conectados a la red social. Diversos indicios apuntan a que parte del contenido tendría relación con una exposición previa de la API de Instagram en 2024, a la que se habrían sumado datos recolectados después mediante scraping y acceso a integraciones externas mal configuradas.
A nivel temporal, los investigadores sitúan la recolección de la información a lo largo de los últimos meses de 2024 y el año 2025, aunque el grueso de la difusión pública en foros clandestinos se ha producido a comienzos de 2026. El paquete se ha visto tanto ofrecido a la venta como compartido de forma gratuita en algunos hilos, lo que incrementa la probabilidad de que llegue a manos de múltiples grupos de atacantes.
En paralelo, servicios de monitorización de incidentes y cuentas dedicadas al seguimiento de ciberataques han replicado la alerta, confirmando que el volumen y el tipo de datos coinciden con otros casos donde se han explotado vulnerabilidades en APIs o servicios de terceros conectados a grandes plataformas.
Reacción de Instagram y postura de Meta ante el incidente
En declaraciones relativas a incidentes recientes, desde Instagram se ha llegado a señalar que ciertos envíos masivos de correos de restablecimiento de contraseña estarían relacionados con “problemas de software” y no con una intrusión externa clásica. Según esa explicación, un fallo habría permitido que terceros desencadenasen solicitudes de cambio de clave hacia ciertos perfiles sin que eso implicara un acceso directo al corazón de la infraestructura.
Sin embargo, los hallazgos de Malwarebytes y otras fuentes independientes muestran un panorama mucho más complejo: datos personales empaquetados, organizados y listos para ser utilizados en ataques, procedentes de respuestas de API y potencialmente relacionados con incidentes acumulados desde 2024. Esa diferencia entre el discurso oficial y la lectura técnica alimenta la sensación de que el alcance real del problema todavía no está del todo clarificado.
Meta, la matriz de Instagram, no ha ofrecido por ahora un desglose público detallado sobre qué información concreta se ha visto afectada, qué países o regiones han sufrido un mayor impacto o qué medidas proactivas se han implementado más allá de las protecciones estándar. Esta ausencia de un posicionamiento exhaustivo dificulta que los usuarios sepan si su cuenta está implicada o no, más allá de recurrir a herramientas externas de comprobación.
Riesgos reales para los usuarios: de la dark web al correo electrónico
El impacto más inmediato de esta filtración no es tanto el acceso directo a las cuentas (no se han compartido contraseñas), sino el aumento del riesgo de ataques de ingeniería social. Con correos electrónicos, teléfonos y datos de localización sobre la mesa, los ciberdelincuentes pueden construir mensajes que parecen totalmente verosímiles.
Numerosos usuarios han empezado a recibir correos de restablecimiento de contraseña de Instagram. En algunos casos, se trataría de notificaciones legítimas generadas por intentos de acceso o peticiones de cambio; en otros, de campañas de phishing que imitan al detalle el diseño de los avisos oficiales. Esa mezcla complica distinguir qué es real y qué no, y es ahí donde la filtración se convierte en una herramienta muy útil para los atacantes.
Con la información disponible, se ha observado que los datos se comercializan y comparten en paquetes segmentados por países y volumen de seguidores. Esto facilita que se apunte de forma específica a ciertos colectivos, como influencers, pequeñas empresas, medios de comunicación o figuras públicas europeas, susceptibles de sufrir chantajes, doxing o intentos de secuestro de cuenta.
Además de los correos y SMS fraudulentos, este tipo de bases permite lanzar campañas de suplantación de identidad más elaboradas, donde los atacantes pueden hacerse pasar por el soporte de Meta, gestores de campañas publicitarias o incluso por marcas con las que el usuario ha colaborado en el pasado. Cuanto más preciso es el dato previo, más fácil es que la víctima baje la guardia.
Cómo comprobar si tu información está afectada y qué hacer desde Europa
Ante la falta de un listado público de cuentas afectadas, las personas que usan Instagram en España y el resto de Europa tienen básicamente dos caminos: apoyarse en herramientas de monitorización de filtraciones y aplicar medidas preventivas como si su perfil estuviera incluido en el paquete de 17,5 millones de registros.
Malwarebytes y otros servicios similares han habilitado opciones para comprobar, introduciendo el correo electrónico, si aparece en bases de datos filtradas relacionadas con este y otros incidentes. El funcionamiento suele ser sencillo: se introduce la dirección, se recibe un código de verificación y, una vez validado, la herramienta indica si esa cuenta se ha visto expuesta, en qué tipo de filtraciones y qué datos se han detectado.
Más allá de esos comprobadores, conviene adoptar una actitud de vigilancia constante sobre la bandeja de entrada del correo y los mensajes SMS. Cualquier comunicación que pida confirmar identidad, pulsar en un enlace para reactivar la cuenta o introducir de nuevo la contraseña debe mirarse con lupa, incluso aunque el remitente parezca legítimo a primera vista.
En el contexto europeo, además, este tipo de incidentes se encuadra en el marco del Reglamento General de Protección de Datos (RGPD), que obliga a las empresas a notificar ciertas brechas y a garantizar medidas de protección adecuadas. Aunque los procesos legales llevan su propio ritmo, la presión regulatoria puede obligar a Meta a ofrecer más detalles si se confirma formalmente la vinculación directa de sus servicios con la filtración.
Medidas imprescindibles para blindar tu cuenta de Instagram
En un escenario donde tu correo, tu número de teléfono o tu dirección puedan estar circulando por la dark web, lo más prudente es actuar como si tu información ya estuviera comprometida y reforzar la seguridad de tu cuenta de forma inmediata con unos pasos básicos.
Lo primero es cambiar la contraseña de Instagram desde la propia aplicación o desde la web oficial, sin usar enlaces que lleguen por correo. Lo ideal es optar por una clave larga, única y compleja, que no reutilices en otros servicios. Si un atacante consigue una contraseña que usas en varios sitios, el problema se multiplica.
El segundo paso es activar la autenticación en dos factores (2FA). Aunque todavía mucha gente se apoya en los códigos vía SMS, los especialistas recomiendan priorizar el uso de aplicaciones de autenticación (como Google Authenticator, Authy o similares), que añaden una barrera adicional y son menos vulnerables a ataques como la duplicación de SIM o la interceptación de mensajes.
También conviene ir al apartado de seguridad del Centro de cuentas de Meta para revisar qué dispositivos tienen sesión iniciada y cerrar aquellos que resulten sospechosos o que ya no utilices. Aprovecha para comprobar qué aplicaciones de terceros están conectadas a tu perfil y desconectar aquellas que no reconozcas o que ya no necesites.
Por último, es recomendable revisar el historial de “Correos electrónicos de Instagram” disponible en la configuración de la app. Solo los mensajes que aparecen ahí pueden considerarse legítimos; cualquier otro correo que llegue a tu bandeja sin reflejarse en ese historial debería tratarse con extrema desconfianza y, en caso de duda, eliminarse sin pulsar en ningún enlace.
Todo apunta a que la filtración de 17,5 millones de cuentas de Instagram es el resultado de varios factores encadenados: exposición de datos a través de APIs, scraping prolongado y un uso interesado de la información por parte de actores maliciosos. Mientras no haya una explicación completa por parte de la plataforma, la opción más sensata para quienes usan la red social en España y en el resto de Europa es asumir que la superficie de ataque ha crecido, reforzar las contraseñas, activar la autenticación en dos pasos y desconfiar de cualquier mensaje que pida datos sensibles, por muy oficial que parezca.
Editor profesional de Tecnología y Software