Un enorme tesoro de datos de usuarios de Instagram acaba de volver a salir a la superficie y está poniendo a millones de cuentas nuevamente en la mira más de un año después de que se pensara que la filtración original estaba muerta y enterrada.
Aproximadamente 17,5 millones de cuentas se han visto afectadas por esta última ola de filtraciones, después de que los datos comenzaran a circular en un conocido foro de hackers a principios de enero de 2026. Según una alerta de seguridad de Malwarebytes , un hacker con el nombre de usuario "Solonik" es el responsable de la filtración. Si bien esto podría parecer una nueva brecha de seguridad , los expertos afirman que los datos provienen de un error de 2024: una API de Instagram mal configurada que permitió a los cibercriminales extraer cantidades masivas de información de perfil antes de que Meta pudiera solucionar el problema.
Cuando esto ocurrió por primera vez, los atacantes lograron recopilar datos discretamente durante meses. Finalmente, la base de datos desapareció de la dark web, pero su repentino regreso demuestra una realidad frustrante de la era digital: una vez que tu información está disponible, lo está para siempre.
El "kit de doxing" que ha resurgido es particularmente desagradable porque es muy detallado.
No solo incluye nombres de usuario; incluye nombres completos, direcciones de correo electrónico, números de teléfono e incluso domicilios particulares. Esto es una mina de oro para los ciberdelincuentes, ya que les permite eludir el spam genérico y lanzar ataques dirigidos increíblemente convincentes. Malwarebytes ya está observando un aumento en el número de estafadores que se hacen pasar por soporte de Instagram para engañar a la gente y que proporcionen sus datos de acceso.
Sin embargo, la parte más ingeniosa de este ataque es la estafa del restablecimiento de contraseña . En lugar de enviar un correo electrónico falso y sospechoso, los hackers activan solicitudes de restablecimiento de contraseña reales desde los propios servidores de Instagram. Recibes un correo electrónico legítimo de una dirección "meta.com" o "instagram.com", entras en pánico pensando que alguien ha entrado en tu cuenta y, en ese momento de confusión, es mucho más probable que caigas en la trampa de un mensaje o una llamada de phishing.
A partir del 11 de enero de 2026, Meta ha guardado silencio sobre el asunto.
Si bien hasta ahora el impacto más visible ha sido en Europa, el riesgo es global, especialmente para cualquiera que use la misma contraseña para Instagram que para su banco o correo electrónico.
El consejo de los profesionales de seguridad es simple pero innegociable: cambia tu contraseña ahora, asegúrate de que sea única y, por el amor de Dios, activa la autenticación de dos factores (preferiblemente usando una aplicación en lugar de SMS). Esta última filtración es un claro recordatorio de que, incluso si una empresa corrige un error, los datos robados a través de ella pueden volverse en tu contra en cualquier momento.
Los datos de Instagram de 17,5 millones de usuarios resurgen en línea después del incidente de 2024 apareció primero en Digital Trends .