Instagram ha corregido un fallo en su sistema web para restablecer contrase\u00f1as que pudo dejar visibles correos electr\u00f3nicos y n\u00fameros de tel\u00e9fono asociados a cuentas de la red social. El problema se detect\u00f3 el 6 de junio de 2026 y afectaba a la pantalla que normalmente deber\u00eda mostrar esos datos solo de forma parcial, no completos.<\/p>\n\n\n\n
No estamos hablando, seg\u00fan la informaci\u00f3n disponible, de contrase\u00f1as publicadas ni de una entrada masiva en los servidores de Instagram. Pero el susto no es menor. Un correo o un tel\u00e9fono<\/a> real pueden ser justo la pieza que falta para que un ataque de \u00abphishing\u00bb parezca mucho m\u00e1s cre\u00edble.<\/p>\n\n\n\n El problema estaba en el flujo web de recuperaci\u00f3n de cuenta. En una situaci\u00f3n normal, Instagram<\/a> muestra una pista del correo o del n\u00famero de tel\u00e9fono para que el usuario reconozca su m\u00e9todo de recuperaci\u00f3n sin exponerlo por completo.<\/p>\n\n\n\n Esta vez, seg\u00fan varios informes de ciberseguridad, esa protecci\u00f3n fall\u00f3. Al intentar iniciar el restablecimiento de contrase\u00f1a, la pantalla pod\u00eda mostrar el correo electr\u00f3nico y el n\u00famero de tel\u00e9fono sin ocultarlos. Algunas capturas circularon en redes sociales y apuntaban incluso a cuentas de alto perfil, como la de Mark Zuckerberg, consejero delegado de Meta.<\/p>\n\n\n\n Meta corrigi\u00f3 el fallo poco despu\u00e9s de que se hiciera p\u00fablico. Aun as\u00ed, el da\u00f1o potencial ya estaba ah\u00ed, porque durante ese intervalo alguien pudo recopilar datos de cuentas concretas. Es el t\u00edpico error peque\u00f1o en apariencia que, en la pr\u00e1ctica, abre una puerta bastante inc\u00f3moda.<\/p>\n\n\n\n Investigadores y cuentas especializadas en seguridad se\u00f1alaron el problema en X. El colectivo vx-underground avis\u00f3 de que Instagram estaba mostrando tel\u00e9fonos y correos al intentar recuperar una contrase\u00f1a, lo que ayud\u00f3 a que el fallo se difundiera r\u00e1pidamente entre la comunidad de ciberseguridad.<\/p>\n\n\n\n El investigador conocido como Scot0xo lo describi\u00f3 como \u00abun error l\u00f3gico\u00bb en el flujo web de restablecimiento. Eso significa que el problema no estar\u00eda en una contrase\u00f1a robada ni en una API abierta sin control, sino en una decisi\u00f3n o comprobaci\u00f3n mal aplicada dentro del proceso normal de recuperaci\u00f3n.<\/p>\n\n\n\n Dicho de otra forma, la propia puerta de ayuda mostraba m\u00e1s informaci\u00f3n de la que deb\u00eda. No hac\u00eda falta romper una cerradura sofisticada si el sistema ense\u00f1aba el dato en la pantalla equivocada.<\/p>\n\n\n\n Un correo electr\u00f3nico y un n\u00famero de tel\u00e9fono no permiten, por s\u00ed solos, entrar en una cuenta. Pero sirven para hacer ataques m\u00e1s personalizados. Y ah\u00ed empieza el problema.<\/p>\n\n\n\n Con esos datos, un atacante puede preparar un correo falso que parezca venir de Instagram o de Meta. Tambi\u00e9n puede enviar un SMS con un enlace malicioso y un aviso urgente, como si hubiera un intento de inicio de sesi\u00f3n o una suspensi\u00f3n de cuenta.<\/p>\n\n\n\n Ese tipo de enga\u00f1o funciona porque toca una fibra muy humana. Ves tu nombre, tu correo correcto o una alerta que parece real, y bajas la guardia. Un clic r\u00e1pido en el m\u00f3vil<\/a> puede convertirse en una contrase\u00f1a entregada sin darte cuenta.<\/p>\n\n\n\n El \u00abphishing\u00bb consiste en suplantar a una empresa o servicio para robar datos. Puede llegar por correo, por mensaje directo o por SMS, en cuyo caso suele llamarse \u00absmishing\u00bb. La idea es siempre parecida, meterte prisa y llevarte a una p\u00e1gina falsa.<\/p>\n\n\n\n Instagram recuerda en su Centro de ayuda que, ante un mensaje sospechoso que diga venir de la plataforma, conviene no hacer clic en enlaces ni adjuntos. Tambi\u00e9n recomienda no responder a ese tipo de correos o mensajes, una norma simple que sigue siendo de las m\u00e1s efectivas.<\/p>\n\n\n\n La exposici\u00f3n de datos de recuperaci\u00f3n hace que esos ataques sean m\u00e1s convincentes. No porque el atacante sea m\u00e1s brillante, sino porque ahora puede a\u00f1adir detalles reales. Es como si un desconocido llamara a tu puerta sabiendo tu nombre completo y tu portal.<\/p>\n\n\n\n La primera medida es revisar cualquier mensaje relacionado con Instagram con calma. Si recibes un aviso para cambiar la contrase\u00f1a, entra desde la aplicaci\u00f3n oficial o escribiendo t\u00fa la direcci\u00f3n en el navegador. No uses el enlace<\/a> de un correo o SMS que no esperabas.<\/p>\n\n\n\n Tambi\u00e9n merece la pena activar la autenticaci\u00f3n en dos pasos. Instagram permite configurarla desde el Centro de cuentas, dentro de \u00abContrase\u00f1a y seguridad\u00bb, y elegir un m\u00e9todo adicional para verificar el inicio de sesi\u00f3n.<\/p>\n\n\n\n Usa una contrase\u00f1a<\/a> \u00fanica para Instagram y no la repitas en otros servicios. Puede sonar b\u00e1sico, pero en seguridad digital lo b\u00e1sico suele ser lo que m\u00e1s evita disgustos. Si has reutilizado esa clave en otra web, c\u00e1mbiala tambi\u00e9n all\u00ed.<\/p>\n\n\n\n Este caso recuerda que los sistemas de recuperaci\u00f3n de cuenta son una zona delicada. Est\u00e1n pensados para ayudar cuando alguien olvida una contrase\u00f1a, pero tambi\u00e9n manejan datos muy sensibles. Si fallan, pueden convertirse en una herramienta \u00fatil para atacantes.<\/p>\n\n\n\n Para Meta, el incidente llega en un momento en el que sus procesos de soporte y recuperaci\u00f3n de cuentas est\u00e1n bajo m\u00e1s atenci\u00f3n. La compa\u00f1\u00eda hab\u00eda presentado mejoras en la asistencia para Facebook e Instagram, incluida ayuda basada en IA para problemas de cuenta y recuperaci\u00f3n de acceso.<\/p>\n\n\n\n Para los usuarios, la conclusi\u00f3n es m\u00e1s pr\u00e1ctica. Instagram ya ha corregido el fallo, pero los datos que alguien haya podido ver no se pueden \u00abdesver\u00bb. Por eso conviene estar atento a correos, SMS y mensajes raros durante las pr\u00f3ximas semanas. El informe principal sobre el fallo se ha publicado en Cyber Security News<\/em><\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Instagram ha corregido un fallo en su sistema web para restablecer contrase\u00f1as que pudo dejar visibles correos electr\u00f3nicos y n\u00fameros … <\/p>\nEl fallo de Instagram<\/h2>\n\n\n\n
Lea tambi\u00e9n: Despu\u00e9s de una crisis sin precedentes que parece no tener fin, los fabricantes tienen el sustituto de las memorias RAM: resucitan la tecnolog\u00eda DDR4 que daban por muerta hace a\u00f1os<\/a><\/h4>\n<\/div>\n<\/div><\/div>\n<\/div>\n\n\n\n
Qu\u00e9 se sabe del origen<\/h2>\n\n\n\n
Lea tambi\u00e9n: Brasil reabre la carpeta Gripen con un posible pedido de 20 unidades adicionales, y el plan refuerza una apuesta sostenida por el caza sueco en plena recalibraci\u00f3n regional<\/a><\/h4>\n<\/div>\n<\/div><\/div>\n<\/div>\n\n\n\n
Por qu\u00e9 puede afectarte<\/h2>\n\n\n\n
Lea tambi\u00e9n: Apple lo ha confirmado: la lista negra de los iPhone que van a dejar de recibir soporte inmediatamente<\/a><\/h4>\n<\/div>\n<\/div><\/div>\n<\/div>\n\n\n\n
El riesgo del phishing<\/h2>\n\n\n\n
Lea tambi\u00e9n: Google manda un aviso a millones de usuarios de Chrome e insta a tomar medidas urgentes antes de que sea demasiado tarde para la seguridad<\/a><\/h4>\n<\/div>\n<\/div><\/div>\n<\/div>\n\n\n\n
C\u00f3mo proteger tu cuenta<\/h2>\n\n\n\n
Una lecci\u00f3n para Meta<\/h2>\n\n\n\n