Bien por Instagram: soluciona el problema de los correos de reseteo de contraseña
Este afectaba a una gran cantidad de usuarios y, además de ser un riesgo en el apartado de la seguridad, resultaba bastante molesto por lo persistente de la petición.
Durante las últimas semanas, muchos de usuarios de Instagram se vieron sorprendidos por una avalancha de correos electrónicos solicitando el cambio de contraseña… sin haberlo pedido. Esto desató una ola de preocupación y especulaciones sobre un posible ciberataque masivo. Hoy, la plataforma confirma que el problema ha sido corregido.
¿Qué ocurrió realmente?
Todo comenzó cuando usuarios de todo el mundo empezaron a recibir mensajes para restablecer su contraseña. En redes sociales, especialmente en X, se multiplicaron las capturas de pantalla mostrando estos correos inesperados. La situación coincidió con un informe de la firma de ciberseguridad Malwarebytes, que alertaba sobre la filtración de datos de 17,5 millones de cuentas de Instagram. Según la compañía, esta información incluía nombres de usuario, direcciones físicas, correos electrónicos y números de teléfono, y estaba disponible para la venta en la dark web.
Aunque Instagram negó rotundamente que se tratara de una brecha en sus sistemas, reconoció que “un actor externo” había encontrado la manera de solicitar correos de reseteo para algunas cuentas. En un comunicado oficial, la empresa afirmó: “Hemos solucionado un problema que permitía a un tercero solicitar correos de restablecimiento de contraseña para algunos usuarios. No ha habido ninguna vulnerabilidad en nuestros sistemas y las cuentas siguen seguras. Podéis ignorar esos correos”.
We fixed an issue that let an external party request password reset emails for some people. There was no breach of our systems and your Instagram accounts are secure.
— Instagram (@instagram) January 11, 2026
You can ignore those emails — sorry for any confusion.
¿Hubo realmente una filtración de datos?
Aquí es donde la historia se complica. Malwarebytes insiste en que los datos expuestos son reales y que se están utilizando para campañas de phishing y posibles intentos de secuestro de cuentas. El origen, según sus investigaciones, estaría en una fuga relacionada con la API de Instagram en 2024, aunque Meta -la empresa matriz de Instagram- asegura que no hay pruebas de un nuevo ataque y que los datos podrían proceder de filtraciones antiguas o de scraping masivo.
Lo cierto es que, aunque no se han detectado contraseñas en el lote filtrado, la combinación de correos electrónicos y números de teléfono es suficiente para que los ciberdelincuentes intenten engañar a los usuarios mediante técnicas de ingeniería social. De hecho, expertos advierten que este tipo de estafas pueden prolongarse durante meses o incluso años, aprovechando la información disponible para crear páginas falsas que imitan a la oficial de Instagram y solicitan datos sensibles bajo el pretexto de recuperar la cuenta.
¿Por qué es peligroso este tipo de ataques?
El principal riesgo no es que los correos de reseteo cambien tu contraseña automáticamente -eso no ocurre si no haces clic en el enlace-, sino que los usuarios, alarmados, caigan en trampas diseñadas para robar credenciales. Estas páginas fraudulentas suelen parecer legítimas y, en algunos casos, incluyen detalles personales filtrados para generar confianza. Una vez que el usuario introduce su contraseña, los atacantes pueden tomar el control de la cuenta y usarla para fraudes, suplantación de identidad o incluso chantajes.
¿Qué medidas recomiendan Instagram y los expertos?
Aunque la plataforma asegura que todo está bajo control, los especialistas recomiendan reforzar la seguridad de inmediato. Aquí tienes las acciones más importantes:
- Ignora los correos sospechosos: si recibes un email para restablecer tu contraseña sin haberlo solicitado, no hagas clic en ningún enlace. Comprueba en la sección Correos de Instagram dentro de la app si el mensaje es legítimo.
- Cambia tu contraseña desde la aplicación: hazlo directamente en el Centro de cuentas de Meta, evitando enlaces externos.
- Activa la autenticación en dos pasos (2FA): es la mejor defensa contra accesos no autorizados. Puedes elegir entre SMS, WhatsApp o, preferiblemente, una app como Google Authenticator o Duo Mobile. Para activarla, ve a Configuración > Centro de cuentas > Contraseña y seguridad > Autenticación en dos pasos.
- Revisa los dispositivos conectados: desde el mismo Centro de cuentas, comprueba qué dispositivos tienen acceso y elimina los que no reconozcas.
- Mantén tus datos actualizados: verifica que tu correo y número de teléfono en Instagram son correctos para recuperar la cuenta en caso de problemas.
¿Qué dice Meta sobre el futuro?
Meta insiste en que no ha habido una vulnerabilidad interna y que el incidente se debió a un abuso del sistema de reseteo, ya corregido. Sin embargo, la falta de detalles técnicos y la coincidencia con la supuesta filtración han generado desconfianza entre los usuarios de Instagram. Por ahora, la compañía recomienda ignorar los correos y seguir las buenas prácticas de seguridad, pero no descarta seguir mejorando sus mecanismos para evitar que algo similar vuelva a ocurrir.