Investigadores de seguridad informaron sobre un conjunto de datos de unos 17,5 millones de registros de usuarios de Instagram que circula en foros subterráneos, mientras Instagram negó una violación de la plataforma pero reconoció un error que permitía a terceros provocar el envío de correos electrónicos de restablecimiento de contraseña. Empresas advierten que los datos de contacto expuestos han fomentado intentos de phishing y de toma de control de cuentas.

Durante la semana del 11 al 17 de enero los monitores de ciberseguridad detectaron un gran conjunto de datos—aproximadamente 17,5 millones de registros de usuarios de Instagram—circulando en foros clandestinos y canales de notificación. Instagram indicó que no hubo una violación de la plataforma pero confirmó un fallo de seguridad que podría permitir a actores externos activar correos de restablecimiento de contraseña o de otro modo recopilar datos de contacto vinculados a cuentas, creando una vía para ataques de ingeniería social dirigidos. Proveedores de seguridad informaron un abuso rápido: los atacantes usaron correos electrónicos y números de teléfono expuestos para elaborar campañas de phishing convincentes, iniciar restablecimientos de contraseña, interceptar códigos mediante técnicas de intercambio de SIM o buzón de voz, y perseguir apropiaciones de cuentas. La circulación del conjunto de datos posibilitó tanto campañas masivas de barrido como intrusiones priorizadas contra objetivos de alto valor, lo que motivó avisos de protección de cuentas por parte de investigadores. Observadores instaron a usar autenticación multifactor más fuerte que el SMS, supervisar la actividad no autorizada de restablecimiento de contraseña y reportar rápidamente restablecimientos sospechosos. El incidente refuerza cómo los metadatos de contacto recopilados —incluso en ausencia de volcados completos de credenciales— pueden ser instrumentalizados para phishing, recolección de credenciales y esquemas de intercambio de SIM que se agravan en fraudes más amplios y compromisos de cuentas en plataformas sociales y financieras.