Instagram niega violación después de que los usuarios recibieran correos electrónicos de restablecimiento de contraseña

Instagram ha negado haber sido víctima de una violación de datos después de que muchos usuarios recibieran correos electrónicos pidiéndoles que restableceran sus contraseñas.

La compañía dijo que solucionó un problema que permitía a “una parte externa” hacer que la plataforma de redes sociales enviara solicitudes legítimas de restablecimiento de contraseña a los usuarios.

Instagram dijo que no había habido ninguna violación de sus sistemas y dijo a los usuarios que sus cuentas estaban seguras.

Pero algunos expertos han cuestionado esa afirmación, y la empresa de ciberseguridad Malwarebytes dijo que los correos electrónicos de restablecimiento de contraseña en realidad se enviaron después de un ataque.

“Los ciberdelincuentes robaron información confidencial de 17,5 millones de cuentas de Instagram, incluidos nombres de usuario, direcciones físicas, números de teléfono, direcciones de correo electrónico y más”, afirmó en una publicación en X, acompañada de una captura de pantalla de un correo electrónico de restablecimiento de contraseña de Instagram.

La empresa no dio más detalles, pero la publicación ha sido vista más de 2,3 millones de veces.

Malwarebytes le dijo a la BBC que creía que los correos electrónicos de restablecimiento de contraseña eran el resultado directo de una venta continua de datos privados en un foro de piratas informáticos, donde un delincuente afirmó tener la información personal de 17,5 millones de usuarios de Instagram.

El anuncio afirma que los datos provienen de una “filtración” que ocurrió en 2024.

Pero algunos investigadores de seguridad creen que en realidad se trata de una base de datos antigua que se recopiló a partir de datos a los que se podría acceder públicamente, como nombres y ubicaciones, en 2022.

Los correos electrónicos de restablecimiento de contraseña asociados con la advertencia de Malwarebytes han confundido a miles de personas en las redes sociales.

Y la explicación de Instagram también generó dudas.

“Solucionamos un problema que permitía a un tercero solicitar correos electrónicos de restablecimiento de contraseña para ciertas personas”, dijo la compañía.

“No hubo ninguna violación de nuestros sistemas”.

Pero Instagram no respondió a las preguntas de la BBC sobre quién podría estar enviando solicitudes legítimas de restablecimiento de contraseña en nombre de la empresa.

Los correos electrónicos generaron preocupación entre algunos usuarios de redes sociales, quienes temieron que se tratara de una estafa o un intento de phishing para obtener más información sobre ellos.

Pero los enlaces en el correo electrónico no parecen maliciosos y el proceso de restablecimiento de contraseña por el que se guía al usuario parece legítimo.

Sin embargo, el consejo, como siempre, es ir directamente al sitio web o aplicación para cambiar las contraseñas y agregar protección adicional.