Días atrás, usuarios de Instagram comenzaron a recibir correos de cambio de contraseña que no habían solicitado. En condiciones normales, ese tipo de mensaje suele ser una señal clara de que alguien intenta tomar control de una cuenta o, en el mejor de los casos, generar confusión para provocar un error del usuario.
Lo llamativo del episodio es que los correos parecían legítimos. No se trataba del phishing clásico con enlaces maliciosos o archivos sospechosos, sino de mensajes que, al menos en apariencia, provenían directamente de Instagram. Eso, de entrada, complica la lectura del incidente.
¿Qué pasó realmente? No está claro. Por un lado, surgió la versión de un hackeo a Instagram que habría expuesto datos de unas 17.5 millones de cuentas, información que —según MalwareBytes— estaría circulando en foros de la dark web. En ese escenario, los correos de cambio de contraseña serían consecuencia directa de la disponibilidad de datos personales como nombres reales, direcciones y otros elementos asociados a las cuentas.
Instagram, sin embargo, niega de forma categórica haber sido hackeada. Su explicación apunta a que terceros habrían aprovechado una vulnerabilidad interna para enviar esos correos desde la propia plataforma, sin que ello implicara una violación de sus sistemas. La empresa asegura que el fallo ya fue corregido, pero no ha ofrecido detalles sobre la naturaleza de la vulnerabilidad ni sobre quiénes la explotaron.
Aquí es donde ambas versiones empiezan a generar dudas. Hay quienes sostienen que los datos en cuestión podrían provenir de una base de datos pública de 2022, mientras otros apuntan a filtraciones anteriores, como un hackeo ocurrido en 2024. Por su parte, Instagram se limita a negar el incidente mayor sin aportar información técnica que permita cerrar el debate. El historial poco transparente de Meta en situaciones similares tampoco ayuda a disipar las suspicacias.
Por ahora, la recomendación es simple y práctica. Si no solicitó un cambio de contraseña, ignore el correo. No haga clic en enlaces, no responda el mensaje y aproveche para reforzar la seguridad de su cuenta, idealmente con autenticación de dos factores. En este tipo de episodios, la cautela sigue siendo la mejor defensa.
