Instagram declaró que no había sufrido ninguna brecha de seguridad, a pesar de que algunos usuarios recibieron solicitudes de restablecimiento de contraseña que generaron preocupación. La declaración siguió a una publicación en Bluesky de la empresa de software antivirus Malwarebytes, que incluía una captura de pantalla de un correo electrónico de Instagram informando a un usuario de una solicitud de restablecimiento de contraseña.

Malwarebytes afirmó en su publicación del viernes que los ciberdelincuentes habían robado información confidencial de 17,5 millones de cuentas de Instagram, incluidos nombres de usuario, direcciones físicas, números de teléfono y direcciones de correo electrónico. La compañía alegó además que estos datos estaban disponibles para la venta en la dark web y podrían ser explotados por los ciberdelincuentes.

En respuesta, Instagram publicó en X que había resuelto un problema que permitía a un tercero solicitar correos electrónicos de restablecimiento de contraseña para algunos usuarios. La compañía no reveló detalles sobre el tercero involucrado ni la naturaleza específica del problema. La publicación de Instagram concluyó con una disculpa por cualquier confusión y aconsejó a los usuarios que ignoraran los correos electrónicos sospechosos.

La discrepancia entre la afirmación de Malwarebytes sobre un robo de datos y la negación de una brecha por parte de Instagram destaca los desafíos en la evaluación y comunicación de incidentes de ciberseguridad. Una solicitud de restablecimiento de contraseña, aunque potencialmente indicativa de actividad maliciosa, no confirma automáticamente una brecha de datos. Los ciberdelincuentes a menudo intentan obtener acceso no autorizado a las cuentas a través de varios métodos, incluyendo el phishing, el credential stuffing (uso de combinaciones de nombre de usuario/contraseña conocidas de otras brechas) y la explotación de vulnerabilidades en el software.

La falta de detalles específicos por parte de Instagram con respecto al "tercero" y el "problema" plantea interrogantes sobre el alcance y el impacto potencial del incidente. Sin más información, es difícil evaluar el nivel de riesgo para los usuarios de Instagram.

La decisión de Instagram de abordar el problema en X, en lugar de en su propia plataforma o en Threads, también llamó la atención. Esta elección puede reflejar una estrategia para llegar a un público más amplio rápidamente, pero también plantea preguntas sobre las prioridades de comunicación de la empresa durante un posible incidente de seguridad.

Se aconseja a los usuarios que recibieron solicitudes de restablecimiento de contraseña inesperadas que habiliten la autenticación de dos factores en sus cuentas de Instagram y que tengan cuidado con los intentos de phishing. La autenticación de dos factores agrega una capa adicional de seguridad al requerir un código de verificación del dispositivo de un usuario además de su contraseña.

Instagram aún no ha anunciado ninguna medida adicional para investigar el incidente o para prevenir sucesos similares en el futuro. La respuesta de la compañía a este incidente probablemente será examinada de cerca tanto por expertos en ciberseguridad como por usuarios.