Si en los últimos días Instagram te ha enviado un correo alertando de un restablecimiento de contraseña que tú no pediste, no estás solo. Millones de usuarios han recibido el mismo email, totalmente legítimo y enviado desde direcciones oficiales de la plataforma. El susto fue inmediato y la pregunta inevitable: ¿alguien está intentando entrar en mi cuenta? Medios especializados como Cybernews y TechRadar confirmaron que el envío masivo de estas alertas afectó a millones de personas en todo el mundo.

La inquietud creció aún más cuando, casi al mismo tiempo, la empresa de ciberseguridad Malwarebytes avisó en X de la aparición, en foros de hacking, de un supuesto archivo con datos de hasta 17,5 millones de perfiles de Instagram. Según esa información, el fichero incluiría nombres, teléfonos, correos electrónicos e incluso direcciones físicas.

El archivo “filtrado” que no es lo que parece

Aquí llega el matiz clave. Investigadores independientes han señalado que ese dataset no es nuevo. De hecho, coincide con filtraciones antiguas, especialmente con datos obtenidos mediante scraping en 2017 y reutilizados en distintos momentos. Es decir, no hay pruebas de que ese archivo proceda de un ataque reciente contra Instagram.

Meta responde: “No ha habido ningún acceso no autorizado”

Ante el revuelo, Meta —empresa matriz de Instagram— fue tajante: no ha habido ninguna brecha de seguridad y los usuarios pueden “ignorar estos correos”. Según la compañía, lo ocurrido se debió a un fallo que permitía a terceros provocar el envío de solicitudes legítimas de restablecimiento de contraseña, pero sin acceder a las cuentas ni comprometer los sistemas.

En palabras de un portavoz de Meta: “Hemos solucionado un problema que permitía a un tercero solicitar correos de restablecimiento. No ha habido ninguna brecha y las cuentas permanecen seguras”.

La recomendación oficial es clara: si no solicitaste el cambio de contraseña, puedes ignorar el correo.

Entonces, ¿qué ha pasado realmente?

Lo ocurrido estos días es una mezcla algo confusa de dos cosas distintas:

por un lado, un fallo ya solucionado que permitió el envío masivo de correos reales de reseteo; por otro, la circulación de un dataset antiguo presentado como si fuera una filtración reciente.

A día de hoy, y según la información disponible, no existe evidencia de una brecha actual en Instagram ni de accesos no autorizados a cuentas. Aun así, reforzar la seguridad nunca sobra.

Qué hacer si recibes uno de estos correos

Ignora el email si no solicitaste el reseteo: el correo es real, pero no implica que alguien haya entrado en tu cuenta.

Activa la verificación en dos pasos (2FA) desde el apartado “Contraseña y seguridad” de la app.

Revisa la actividad reciente de tu cuenta: por pura precaución, entra en “Dónde has iniciado sesión” o “Alertas de inicio de sesión” y comprueba que todo esté en orden.

Cambia la contraseña solo si detectas algo raro: no es necesario hacerlo como consecuencia directa de este incidente, ya que no se han filtrado contraseñas.

Los consejos de siempre (que siguen siendo clave)

Desde OCU recuerdan algunas reglas básicas que nunca pasan de moda: