Un enorme tesoro de datos de usuarios de Instagram acaba de volver a salir a la superficie y está poniendo a millones de cuentas nuevamente en la mira más de un año después de que se pensaba que la filtración unique estaba muerta y enterrada.
Aproximadamente 17,5 millones de cuentas están atrapadas en esta última ola después de que los datos comenzaran a round en un famoso foro de piratería a principios de enero de 2026. Según un alerta de seguridad de Malwarebytesun hacker que se hace llamar “Solonik” es el que está detrás de la filtración. Si bien esto puede parecer una nueva violación de seguridad, los expertos dicen que los datos en realidad provienen de un paso en falso de 2024: una API de Instagram mal configurada que permitió a los malos actores extraer cantidades masivas de información de perfil antes de que Meta pudiera tapar el agujero.
Cuando esto sucedió por primera vez, los atacantes pudieron recopilar datos silenciosamente durante meses. Con el tiempo, la base de datos desapareció de la internet oscura, pero su repentino regreso demuestra una realidad frustrante de la period digital: una vez que su información está disponible, estará disponible para siempre.
El “package de doxxing” resurgido es particularmente desagradable porque es muy detallado
No sólo tiene nombres de usuario; incluye nombres completos, direcciones de correo electrónico, números de teléfono e incluso direcciones físicas. Esta es una mina de oro para los ciberdelincuentes porque les permite superar el spam genérico y lanzar ataques dirigidos increíblemente convincentes. Malwarebytes ya está viendo un aumento en el número de estafadores que se hacen pasar por soporte de Instagram para atraer a las personas a que entreguen sus datos de inicio de sesión.
Sin embargo, la parte más inteligente de este ataque es la estafa de restablecimiento de contraseña. En lugar de enviar un correo electrónico falso y de apariencia incompleta, los piratas informáticos en realidad están activando solicitudes reales de restablecimiento de contraseña desde los propios servidores de Instagram. Recibes un correo electrónico legítimo de una dirección “meta.com” o “instagram.com”, te entra el pánico al pensar que alguien está en tu cuenta y, en ese momento de confusión, es mucho más possible que caigas en un mensaje de texto o una llamada de phishing de seguimiento.
A partir del 11 de enero de 2026, Meta se ha mantenido callado sobre el asunto.
Si bien el impacto más seen se ha producido hasta ahora en Europa, el riesgo es world, especialmente para cualquiera que utilice la misma contraseña para Instagram que para su banco o correo electrónico.
El consejo de los profesionales de la seguridad es easy pero no negociable: cambie su contraseña ahora, asegúrese de que sea única y, por el amor de Dios, energetic la autenticación de dos factores (preferiblemente usando una aplicación en lugar de SMS). Esta última filtración es un claro recordatorio de que incluso si una empresa corrige un error, los datos robados pueden volver a atormentarte en cualquier momento.
