Roma, 10 de enero de 2026 – Es posible que en los últimos días hayan recibido un correo electrónico de Instagram para restablecer su contraseña. La buena noticia es que, muy probablemente, no se trata de la típica campaña de *phishing*. La mala, es que es algo mucho peor. Lo que está ocurriendo en estas horas es, de hecho, la onda expansiva de uno de los incidentes de seguridad más graves de los últimos diez años. No se trata de un simple fallo momentáneo, sino, según informan los expertos de Malwarebytes Labs, de una masiva violación de datos (data breach). Un base de datos que contiene la información sensible de aproximadamente 17,5 millones de usuarios de Instagram ha sido sustraída y puesta a la venta en la Dark Web, esa parte de internet que requiere precauciones especiales para ser explorada.
La situación
A diferencia de otros episodios pasados, esta vez la situación es particularmente crítica porque los datos robados no se limitan al mundo digital. Además de nombres de usuario, correos electrónicos y números de teléfono, la base de datos incluye las direcciones físicas de residencia. Probablemente sustraídos aprovechando una falla en los sistemas que gestionan los perfiles Business o Shopping de Instagram, estos datos transforman el riesgo de virtual a real, exponiendo a las víctimas al peligro del *doxing*: la práctica de hacer públicos los datos privados de una persona para incitar a otros a acosarla o perseguirla en el mundo real.
El paradoja de los VIP
Un aspecto alarmante de este asunto concierne a los perfiles más visibles. “Las cuentas con un alto número de seguidores –explica el colectivo de seguridad italiano RansomNews– podrían ser uno de los objetivos prioritarios de esta oleada. La razón es puramente económica: robar el perfil a un *influencer*, a un deportista, a un político o a una empresa permite a los *hackers* pedir un rescate en dinero a cambio de la devolución de la cuenta o para no divulgar contenidos privados”. Estos perfiles, paradójicamente, suelen estar menos protegidos que los de los usuarios comunes. “La gestión de una cuenta con millones de seguidores está encomendada a un amplio personal (community managers, agencias, asistentes) y el uso de la autenticación de dos factores (aquella que requiere un código temporal además de la contraseña, ndr) se convierte en un obstáculo logístico. Compartir un código que cambia cada 30 segundos entre diferentes personas que trabajan desde diferentes lugares es laborioso. Por comodidad, por lo tanto, esta protección fundamental a menudo se desactiva, haciendo que los perfiles más valiosos sean paradójicamente los más expuestos”.
Profundiza:
YouTube dice basta a los falsos tráilers hechos con IA: fuera cientos de canales y stop a los *deepfake*
El caos en los correos electrónicos
La situación más confusa para los usuarios se refiere a la lluvia de correos electrónicos con el asunto “Restablece tu contraseña”. Es fundamental aclarar un punto: muchos de estos correos electrónicos son auténticos y provienen realmente de Instagram.
Dado que los *hackers* están en posesión de millones de nombres de usuario, muy probablemente –como explica TheCyberSecGuru– estén utilizando programas automáticos (bots) para intentar adivinar las contraseñas a repetición (“ataque de fuerza bruta”). Los sistemas de seguridad de Instagram detectan estos intentos sospechosos y, como defensa, envían automáticamente al propietario legítimo un correo electrónico real avisando del intento de acceso o solicitando el cambio de contraseña. Sin embargo, es precisamente en esta confusión donde se esconden los buitres. Criminales informáticos ajenos al robo principal están aprovechando el pánico para enviar millones de correos electrónicos de *phishing* que imitan perfectamente los verdaderos. Su objetivo es mezclarse con el flujo de alertas legítimas esperando que el usuario, asustado, haga clic en un enlace falso y entregue espontáneamente sus credenciales. La distinción es sutil y peligrosa: podrían tener en la misma bandeja de entrada un correo electrónico verdadero (enviado por el sistema de defensa de Meta) y uno falso (enviado por un estafador), llegando a pocos minutos de distancia. Es fundamental, por lo tanto, no hacer clic nunca en los enlaces de los correos electrónicos, sino actuar siempre directamente desde la aplicación oficial.
El peligro en el teléfono móvil
Además de la dirección de casa, la presencia de los números de teléfono en la base de datos robada expone al llamado riesgo de *Sim-Swapping*. Con tu número y tus datos personales, un criminal puede, de hecho, engañar al operador telefónico y solicitar que transfieran tu línea a una nueva SIM. Si lo consiguen, recibirán sus SMS, incluidos los códigos de seguridad para entrar en tu Instagram o en tu cuenta bancaria.
Cómo protegerse
La primera regla es mantener la calma pero actuar de inmediato. No confíen en los correos electrónicos que reciban: abran Instagram, vayan a la Configuración y busquen la opción “Correos electrónicos de Instagram”. Allí encontrarán el registro oficial de las comunicaciones verdaderas; si el correo electrónico que han recibido no está en esa lista, es una estafa. Posteriormente, cambien la contraseña eligiendo una compleja y, lo más importante, activen la autenticación de dos factores a través de una aplicación de autenticación (como Google Authenticator o Duo Mobile). Este pequeño paso hace inútil el robo de su número de teléfono y blinda su cuenta contra la mayoría de los ataques descritos.
