Meta dijo que solucionó un fallo que permitía a terceros externos desencadenar correos electrónicos de restablecimiento de contraseña y negó una violación de la plataforma tras la circulación de un conjunto de datos que afirmaba contener 17,5 millones de registros de Instagram. Los analistas de seguridad advirtieron que la oleada de correos de restablecimiento y la supuesta fuga de datos amplificaron el riesgo de phishing y de toma de control de cuentas.

A principios de enero de 2026 Meta reconoció y parcheó una vulnerabilidad que permitía a algunos actores externos desencadenar correos electrónicos de restablecimiento de contraseña de Instagram con apariencia legítima, después de que en foros subterráneos se difundiera un conjunto de datos que supuestamente contenía unos 17,5 millones de registros de usuarios. Meta negó una intrusión en la plataforma y aseguró que no había evidencia de exfiltración de credenciales desde sus sistemas, pero la empresa aconsejó a los usuarios habilitar la autenticación de dos factores basada en aplicaciones y desconfiar de mensajes de restablecimiento inesperados. Investigadores de seguridad y respondedores de incidentes advirtieron que la combinación de registros filtrados, aunque fueran parciales o agregados, junto con correos de restablecimiento auténticos aumentaba la eficacia de campañas de phishing dirigidas y de toma de control de cuentas. El episodio motivó recomendaciones para que organizaciones y usuarios supervisen la actividad de las cuentas, roten contraseñas cuando se sospeche reutilización y validen las solicitudes de restablecimiento a través de canales oficiales. Las fuerzas del orden y los equipos de seguridad están rastreando la actividad en los foros y los intentos relacionados de relleno de credenciales, mientras que los defensores enfatizan la protección en capas de las cuentas y procesos de respuesta rápida ante sospechas de compromisos.