Instagram ha corregido un fallo en su sistema web para restablecer contraseñas que pudo dejar visibles correos electrónicos y números de teléfono asociados a cuentas de la red social. El problema se detectó el 6 de junio de 2026 y afectaba a la pantalla que normalmente debería mostrar esos datos solo de forma parcial, no completos.
No estamos hablando, según la información disponible, de contraseñas publicadas ni de una entrada masiva en los servidores de Instagram. Pero el susto no es menor. Un correo o un teléfono real pueden ser justo la pieza que falta para que un ataque de «phishing» parezca mucho más creíble.
El fallo de Instagram
El problema estaba en el flujo web de recuperación de cuenta. En una situación normal, Instagram muestra una pista del correo o del número de teléfono para que el usuario reconozca su método de recuperación sin exponerlo por completo.
Esta vez, según varios informes de ciberseguridad, esa protección falló. Al intentar iniciar el restablecimiento de contraseña, la pantalla podía mostrar el correo electrónico y el número de teléfono sin ocultarlos. Algunas capturas circularon en redes sociales y apuntaban incluso a cuentas de alto perfil, como la de Mark Zuckerberg, consejero delegado de Meta.
Meta corrigió el fallo poco después de que se hiciera público. Aun así, el daño potencial ya estaba ahí, porque durante ese intervalo alguien pudo recopilar datos de cuentas concretas. Es el típico error pequeño en apariencia que, en la práctica, abre una puerta bastante incómoda.
Qué se sabe del origen
Investigadores y cuentas especializadas en seguridad señalaron el problema en X. El colectivo vx-underground avisó de que Instagram estaba mostrando teléfonos y correos al intentar recuperar una contraseña, lo que ayudó a que el fallo se difundiera rápidamente entre la comunidad de ciberseguridad.
El investigador conocido como Scot0xo lo describió como «un error lógico» en el flujo web de restablecimiento. Eso significa que el problema no estaría en una contraseña robada ni en una API abierta sin control, sino en una decisión o comprobación mal aplicada dentro del proceso normal de recuperación.
Dicho de otra forma, la propia puerta de ayuda mostraba más información de la que debía. No hacía falta romper una cerradura sofisticada si el sistema enseñaba el dato en la pantalla equivocada.
Por qué puede afectarte
Un correo electrónico y un número de teléfono no permiten, por sí solos, entrar en una cuenta. Pero sirven para hacer ataques más personalizados. Y ahí empieza el problema.
Con esos datos, un atacante puede preparar un correo falso que parezca venir de Instagram o de Meta. También puede enviar un SMS con un enlace malicioso y un aviso urgente, como si hubiera un intento de inicio de sesión o una suspensión de cuenta.
Ese tipo de engaño funciona porque toca una fibra muy humana. Ves tu nombre, tu correo correcto o una alerta que parece real, y bajas la guardia. Un clic rápido en el móvil puede convertirse en una contraseña entregada sin darte cuenta.
El riesgo del phishing
El «phishing» consiste en suplantar a una empresa o servicio para robar datos. Puede llegar por correo, por mensaje directo o por SMS, en cuyo caso suele llamarse «smishing». La idea es siempre parecida, meterte prisa y llevarte a una página falsa.
Instagram recuerda en su Centro de ayuda que, ante un mensaje sospechoso que diga venir de la plataforma, conviene no hacer clic en enlaces ni adjuntos. También recomienda no responder a ese tipo de correos o mensajes, una norma simple que sigue siendo de las más efectivas.
La exposición de datos de recuperación hace que esos ataques sean más convincentes. No porque el atacante sea más brillante, sino porque ahora puede añadir detalles reales. Es como si un desconocido llamara a tu puerta sabiendo tu nombre completo y tu portal.
Cómo proteger tu cuenta
La primera medida es revisar cualquier mensaje relacionado con Instagram con calma. Si recibes un aviso para cambiar la contraseña, entra desde la aplicación oficial o escribiendo tú la dirección en el navegador. No uses el enlace de un correo o SMS que no esperabas.
También merece la pena activar la autenticación en dos pasos. Instagram permite configurarla desde el Centro de cuentas, dentro de «Contraseña y seguridad», y elegir un método adicional para verificar el inicio de sesión.
Usa una contraseña única para Instagram y no la repitas en otros servicios. Puede sonar básico, pero en seguridad digital lo básico suele ser lo que más evita disgustos. Si has reutilizado esa clave en otra web, cámbiala también allí.
Una lección para Meta
Este caso recuerda que los sistemas de recuperación de cuenta son una zona delicada. Están pensados para ayudar cuando alguien olvida una contraseña, pero también manejan datos muy sensibles. Si fallan, pueden convertirse en una herramienta útil para atacantes.
Para Meta, el incidente llega en un momento en el que sus procesos de soporte y recuperación de cuentas están bajo más atención. La compañía había presentado mejoras en la asistencia para Facebook e Instagram, incluida ayuda basada en IA para problemas de cuenta y recuperación de acceso.
Para los usuarios, la conclusión es más práctica. Instagram ya ha corregido el fallo, pero los datos que alguien haya podido ver no se pueden «desver». Por eso conviene estar atento a correos, SMS y mensajes raros durante las próximas semanas. El informe principal sobre el fallo se ha publicado en Cyber Security News.
