Instagram soluciona el problema de los correos de reseteo de contraseña

Última actualización: 12 de enero de 2026
Autor: Pedro Lopez
  • Instagram ha corregido un fallo que permitía a terceros disparar correos de restablecimiento de contraseña sin que el usuario lo pidiera.
  • Malwarebytes habla de datos de 17,5 millones de cuentas en foros de la dark web, frente a la versión de Meta, que niega una nueva brecha.
  • El principal riesgo viene del phishing: correos y páginas falsas que intentan robar credenciales aprovechando datos filtrados.
  • Se recomiendan medidas de seguridad extra como cambiar la clave desde la app, activar la verificación en dos pasos y desconfiar de emails sospechosos.

Problema correos reseteo contrasena Instagram

Durante las últimas semanas, muchos usuarios de Instagram en España y en el resto de Europa han visto cómo su bandeja de entrada se llenaba de mensajes para restablecer la contraseña sin haber hecho ninguna petición. El susto ha sido importante: más de uno pensó que alguien estaba intentando entrar en su perfil o que se había producido un hackeo masivo de la red social.

Tras varios días de rumores, informes de empresas de ciberseguridad y quejas en redes como X, Instagram ha salido al paso y ha confirmado que el fallo que generaba estos correos ya está solucionado. La compañía niega que haya existido una nueva brecha en sus sistemas, pero reconoce que un tercero pudo aprovechar un agujero en el mecanismo de reseteo para lanzar estos emails de forma automatizada.

Qué ha pasado con los correos de reseteo de contraseña

Todo el lío comenzó cuando usuarios de medio mundo empezaron a recibir el famoso correo con asunto en inglés del tipo «Reset your password» sin haber tocado nada en su cuenta. El mensaje indicaba que se había solicitado un cambio de contraseña en Instagram y ofrecía un enlace para completarlo, como en cualquier proceso normal de recuperación de acceso.

A partir de ahí, las capturas de pantalla del email se multiplicaron en redes sociales, sobre todo en X, generando la sensación de que alguien estaba intentando forzar masivamente el acceso a millones de perfiles. Al mismo tiempo, la firma de seguridad Malwarebytes publicó una alerta en la que hablaba de una enorme base de datos con información de 17,5 millones de cuentas de Instagram puesta a la venta en la dark web.

En su comunicado oficial, Instagram explicó que había detectado y corregido “un problema que permitía a una parte externa solicitar correos de restablecimiento de contraseña para algunos usuarios”. La empresa insiste en que no ha habido intrusión en sus servidores ni robo directo de contraseñas, y que los titulares de las cuentas afectadas pueden ignorar estos correos con tranquilidad.

Es importante aclarar que recibir uno de estos emails, por sí solo, no cambia la contraseña ni da acceso a nadie. La clave únicamente se modifica si el propio usuario hace clic en el enlace y completa el proceso. Aun así, la oleada de notificaciones ha servido de caldo de cultivo perfecto para campañas de phishing mucho más creíbles.

La filtración de 17,5 millones de cuentas y el papel de la API

Filtracion cuentas Instagram y correos reseteo

Mientras Instagram intentaba calmar los ánimos, Malwarebytes publicaba un informe donde aseguraba haber detectado 17,5 millones de usuarios de Instagram en un conocido foro de hacking. Según la compañía, el responsable de la filtración sería un actor que se hace llamar «Solonik», quien estaría revendiendo esta información a otros ciberdelincuentes.

Los expertos de esta firma vinculan este enorme archivo de datos con una vulnerabilidad en la API de Instagram descubierta en 2024. Esa configuración defectuosa habría permitido, durante meses, extraer de forma automatizada grandes cantidades de información pública y semipública de perfiles antes de que Meta tapase el agujero técnico.

La base de datos, que se creía desaparecida, ha reaparecido ahora en la dark web. Contiene mucho más que simples nombres de usuario: incluye nombres completos, direcciones de correo electrónico, números de teléfono e incluso domicilios físicos. Aunque no se han encontrado contraseñas en el lote filtrado, el nivel de detalle es suficiente para orquestar ataques extremadamente personalizados.

Desde Meta se mantiene la postura de que no existen pruebas de una nueva brecha de seguridad en la infraestructura actual de Instagram y que estos datos procederían de filtraciones anteriores o de técnicas de scraping masivo. A efectos prácticos, para el usuario medio el matiz técnico cambia poco: si su información circula por foros clandestinos, puede ser usada durante años para intentar engañarle con correos, mensajes y páginas falsas muy convincentes.

¿Por qué estos correos suponen un riesgo real para los usuarios?

El peligro principal no reside en que el email de reseteo llegue a tu bandeja de entrada, sino en lo que haces con él. Los ciberdelincuentes aprovechan este tipo de notificaciones para montar campañas de phishing que imitan al soporte oficial de Instagram. A partir de ahí, intentan que el usuario, asustado por un posible acceso no autorizado, siga instrucciones fraudulentas.

En muchos casos, los atacantes crean páginas que copian al milímetro el diseño de la pantalla de inicio de sesión de Instagram. Incluso pueden incorporar datos personales obtenidos de la filtración (como tu nombre o parte de tu dirección) para dar más credibilidad al engaño. Si la víctima introduce su contraseña en ese formulario falso, los criminales pasan a controlar la cuenta casi al instante.

Una vez dentro, las consecuencias pueden ir más allá de que publiquen contenido raro en tu perfil. Con los datos expuestos, los atacantes pueden suplantar tu identidad, enviar mensajes a tus contactos, difundir estafas o incluso intentar chantajearte si encuentran información sensible en tus mensajes privados.

Los expertos en ciberseguridad avisan de que este tipo de campañas no suelen ser algo puntual, sino que pueden prolongarse durante meses o años. Mientras los datos sigan circulando por la dark web, diferentes grupos de atacantes pueden ir reutilizándolos una y otra vez para montar nuevas oleadas de estafas dirigidas.

La respuesta oficial de Instagram y la versión de las empresas de seguridad

En su mensaje público, difundido también a través de X, Instagram ha recalcado que “no ha habido ninguna brecha en nuestros sistemas y las cuentas siguen seguras”. El problema identificado se habría limitado a un abuso del mecanismo que permite solicitar correos de restablecimiento de contraseña, algo que ya estaría bloqueado.

La compañía pide a los usuarios que ignoren los emails de reseteo que no hayan solicitado y asegura que no hay indicios de que las contraseñas se hayan visto comprometidas. Desde su punto de vista, la avalancha de correos se explica por un uso automatizado y malintencionado de esa función legítima, no por una intrusión dentro de sus servidores.

Por otro lado, Malwarebytes y otros analistas insisten en que el verdadero problema es que la base de datos con 17,5 millones de perfiles ha vuelto a ponerse en circulación. Aunque aceptan que técnicamente no se trate de una “nueva” brecha, señalan que la combinación de datos personales detallados y el envío masivo de correos de reseteo crea el escenario perfecto para un ataque muy amplio de ingeniería social.

Visto desde fuera, todo apunta a un punto intermedio: es probable que Meta tenga razón al afirmar que no ha sufrido un ataque reciente a sus sistemas internos, y que a la vez Malwarebytes acierte al señalar que se ha abusado de una API y de la función de recuperación de cuenta para amplificar el impacto de unos datos ya filtrados anteriormente.

Qué debes hacer si te llega uno de estos correos de Instagram

Si en los últimos días has recibido un mensaje avisándote de que alguien ha pedido cambiar tu contraseña de Instagram, lo primero es mantener la calma. Según la propia plataforma, no tienes que hacer nada si tú no has solicitado el cambio. Puedes borrar el email directamente o dejarlo sin tocar en tu bandeja de entrada.

Dicho esto, siempre es buena idea aprovechar la ocasión para reforzar la seguridad de tu cuenta desde la propia aplicación. En lugar de pulsar en enlaces externos, entra en Instagram, ve al Centro de cuentas de Meta y cambia la contraseña de Instagram manualmente por una que no utilices en ningún otro servicio.

Otra recomendación básica es activar la autenticación en dos pasos (2FA). En Instagram puedes optar por SMS, WhatsApp o, de forma más segura, una app de códigos como Google Authenticator, Duo Mobile o Bitwarden. Para configurarla, basta con ir a Configuración > Centro de cuentas > Contraseña y seguridad > Autenticación en dos pasos y seguir las instrucciones.

Tampoco está de más revisar qué dispositivos tienen sesión iniciada en tu perfil. Desde el mismo Centro de cuentas puedes comprobar la lista de dispositivos conectados y cerrar sesión en aquellos que no reconozcas. Así te aseguras de que nadie esté usando tu cuenta sin tu conocimiento, aunque no tenga tu contraseña actual.

Por último, dedica unos minutos a verificar que tus datos de recuperación (correo y número de teléfono) son correctos y están actualizados. Si en algún momento surge un problema real de acceso, será mucho más fácil recuperar el control con esta información en orden.

Cómo detectar correos de phishing y evitar caer en la trampa

Más allá del incidente concreto con Instagram, conviene tener claros algunos trucos para reconocer un correo fraudulento antes de hacer clic. Los atacantes cada vez pulen más la apariencia de sus mensajes, pero suelen dejar pistas que permiten identificarlos.

Empieza por revisar con detalle la dirección del remitente. Aunque el nombre muestre “Instagram” o “Meta”, mira bien la dirección completa: errores ortográficos, dominios extraños o añadidos raros suelen ser una señal de alarma. Siempre puedes comparar esa dirección con la que aparece en la página oficial de ayuda de Instagram.

Fíjate también en el contenido del mensaje. Los correos que intentan generar urgencia exagerada (“tu cuenta será borrada en una hora si no respondes”) o que piden datos muy sensibles como la contraseña o información de pago suelen ser sospechosos. El soporte legítimo de una empresa rara vez te pedirá que le envíes tus credenciales directamente por email.

Como norma general, lo más seguro es no hacer clic en los enlaces incluidos en el correo. Si crees que el aviso puede ser real, abre la app de Instagram o entra escribiendo la dirección en tu navegador, sin utilizar el link del email. Así evitarás caer en páginas clonadas que imitan la web original.

Por último, activa siempre que puedas la autenticación multifactor en tus cuentas más importantes. En muchos servicios ya es posible utilizar llaves de acceso o sistemas biométricos (huella, reconocimiento facial) que añaden una capa extra frente a intentos de robo de contraseña, incluso cuando el atacante conoce tu usuario y tu email.

Con todo lo ocurrido, el episodio de los correos de reseteo de contraseña en Instagram sirve como recordatorio de que, aunque las grandes plataformas puedan corregir rápidamente sus fallos técnicos, los datos personales que se filtran rara vez desaparecen del todo. Para los usuarios en España y en el resto de Europa, la mejor defensa pasa por combinar escepticismo ante cualquier email sospechoso con buenas prácticas básicas: contraseñas únicas, verificación en dos pasos y cierta desconfianza sana cuando alguien, aunque parezca Instagram, te pida que pulses en un enlace para “arreglar” tu cuenta.

Borrar cuenta de Instagram
Artículo relacionado:
Cómo borrar tu cuenta de Instagram: guía definitiva para eliminar tu perfil