Una base de datos con información personal de millones de usuarios de Instagram empezó a circular libremente en foros de la dark web frecuentados por ciberdelincuentes.

La filtración, que alcanza a 17,5 millones de cuentas, fue detectada por la firma de ciberseguridad Malwarebytes e incluye información sensible asociada a perfiles de la red social de Meta, como nombres de usuario, correos electrónicos, números de teléfono, direcciones físicas parciales y otros datos de contacto.

Aunque no se expusieron contraseñas, los datos filtrados reducen las barreras para ataques de ingeniería social, desde correos falsos hasta intentos de apropiación de cuentas.

Además, facilitan estrategias de suplantación de identidad que buscan explotar los mecanismos de recuperación de cuentas de la plataforma a través de mensajes o correos que imitan notificaciones oficiales de Instagram para inducir a las víctimas a restablecer sus claves o entregar credenciales a los atacantes.

En paralelo, algunos usuarios ya comenzaron a recibir avisos de cambios de contraseña, que pueden ser legítimos o parte de maniobras maliciosas.

El conjunto de datos fue publicado el 7 de enero de 2026 en el foro BreachForums por un actor que utiliza el alias “Solonik”. Allí se ofreció de forma gratuita y se presentó como una recopilación de más de 17 millones de registros vinculados a usuarios de todo el mundo. Los archivos, en formatos JSON y TXT, muestran estructuras típicas de respuestas de API, con campos organizados y valores normalizados.

La información del descubrimiento de este paquete de información se dio a conocer este fin de semana y refuerza la hipótesis de que el total de los datos expuestos proviene de una filtración anterior asociada a la API de Instagram, ocurrida en 2024.

Aunque no hay confirmación sobre el método exacto de obtención, los especialistas de Malwarebytes no descartaron accesos a endpoints inseguros, fallas en integraciones externas o configuraciones incorrectas que habrían permitido la recolección masiva de datos antes de 2025.

Meta, la empresa matriz de Instagram, todavía no emitió una confirmación oficial del incidente. Tampoco hay comunicados públicos en sus páginas de seguridad ni respuestas formales a consultas de medios especializados, lo que mantiene la incertidumbre sobre el alcance real del problema y las medidas adoptadas.

Frente a este escenario, es recomendable tomar ciertas precauciones. Mensajes que solicitan verificar la identidad, confirmar datos personales o restablecer contraseñas deben analizarse con atención, incluso cuando aparentan provenir de la propia plataforma.

Además, se aconseja cambiar la contraseña de Instagram, evitar reutilizar claves en otros servicios y activar la autenticación de dos factores. Son pasos básicos, pero efectivos.