Instagram ha corregido un fallo que ha expuesto datos de los usuarios. Concretamente, ha permitido que un posible atacante obtenga el número de teléfono y la dirección de correo electrónico al intentar restablecer una contraseña. Vamos a contarte qué ha ocurrido y por qué esto es un problema importante. De este error se han hecho eco a través de redes sociales múltiples usuarios.
Según medios especializados como Cyber Security News, ha sido un error lógico crítico en el restablecimiento de contraseñas basado en la web de Instagram el 6 de junio de 2026. Esto expuso direcciones de correo electrónico y números de teléfono de usuarios de esta red social, incluidas personas de alto perfil, como el propio Mark Zuckerberg, director ejecutivo de Meta.
Error en el restablecimiento de contraseñas de Instagram
Hay que indicar que Meta, empresa matriz de Instagram, abordó este problema al poco tiempo de ser detectado. Sin embargo, eso no evitó que circularan pruebas de concepto con capturas de pantalla de recuperación de cuenta donde se demostraba que no enmascaraba correctamente las direcciones de e-mail y los números de teléfono.
El problema ha estado presente en la interfaz web de restablecimiento de contraseña de Instagram. En vez de mostrar las direcciones de e-mail y los números de teléfono solo parcialmente, para que cualquiera no pueda verlo, los mostraba completos. Esto pasaba al intentar un restablecimiento de contraseñas estándar.
A través de redes sociales, perfiles reconocidos en ciberseguridad como vx-underground (@vxunderground) se hicieron eco de este problema. Informaron de cómo Instagram estaba exponiendo direcciones de e-mail y números de teléfono al intentar restablecer una contraseña.
Meta is still having some minor security problems. Instagram is currently exposing phone numbers and email addresses associated with accounts when trying to perform a password resetThis is cool and badass because everyone is sharing Mark Zuckerbergs phone number right now
06 de junio, 2026 • 22:40
También el investigador de seguridad conocido como Scot en la red social X (@Scot0xo) informó de que el fallo se trataba de un error lógico en el flujo de restablecimiento web. No se trataba de una fuga de credenciales API o una violación por parte del servidor. No hubo, por tanto, filtración de datos confidenciales de la cuenta, más allá de exponer la dirección de e-mail y el número de teléfono.
Meta is moving from one security failure to another. A few hours ago, a new logic bug dropped in the Web Reset flow, leaking sensitive account data before getting hit with an emergency hotfix. This is what happens when you fire the experts and rely on brain-dead AI to run core https://t.co/qbjEhVjUQi
06 de junio, 2026 • 19:19
Cómo puede afectarte
Este problema ya ha sido solucionado por parte de Instagram. Sin embargo, como hemos mencionado, ha estado presente durante un tiempo antes de que corrigieran el error. Por tanto, un atacante ha podido obtener el e-mail y el número de teléfono de alguna cuenta y ahora lo podría utilizar.
Un caso concreto de cómo puede usar el e-mail o el número de teléfono es para lanzar ataques de phishing. Podrían enviarte un correo falso, suplantando la identidad de Instagram o cualquier otra plataforma y pedir que entres en un enlace para robar así otros datos personales o contraseñas. Lo mismo podría ocurrir con SMS falsos que podrías recibir.
Riesgos de phishing
| Tipo de ataque | Descripción | Cómo la exposición lo potencia |
|---|---|---|
| Phishing por correo electrónico | Suplantación de Instagram/Meta para robar credenciales | Al conocer el email verificado, el atacante personaliza el mensaje y lo hace más convincente |
| Smishing (SMS) | Mensajes de texto fraudulentos que imitan alertas de seguridad | Disponer del número de teléfono real permite enviar SMS con enlaces maliciosos que parecen legítimos |
| Ataques dirigidos (spear phishing) | Combinación de datos públicos y filtrados para engañar a usuarios específicos | La validación de que el email/número existe y está ligado a una cuenta activa facilita campañas muy focalizadas |
Para evitar ser víctima de problemas de este tipo, es fundamental que siempre mantengas el sentido común y no des facilidades a los atacantes. Asegúrate de utilizar siempre contraseñas seguras, habilitar la autenticación en dos pasos, iniciar sesión solo a través de sitios fiables y no instalar aplicaciones que puedan ser un fraude.
En definitiva, Instagram ha corregido un problema que ha podido exponer los correos electrónicos y números de teléfono de los usuarios. Es fundamental estar alerta ante posibles mensajes de phishing y no caer en errores.
Preguntas frecuentes
¿Qué datos quedaron expuestos exactamente?
El fallo mostraba la dirección de correo electrónico y el número de teléfono completos asociados a la cuenta de Instagram cuando alguien iniciaba un restablecimiento de contraseña desde la web. No se expusieron contraseñas ni otros datos privados como mensajes o fotos.
¿Durante cuánto tiempo estuvo activo el fallo?
Según informes, el error fue detectado y corregido en pocas horas el 6 de junio de 2026. No hay confirmación oficial de si llevaba más tiempo presente, pero la difusión en redes fue muy rápida y Meta aplicó un parche de emergencia.
¿Cómo puedo saber si alguien vio mi número o correo?
Instagram no ha proporcionado una herramienta para verificar si tus datos fueron consultados. Sin embargo, si recibes intentos de phishing o mensajes sospechosos haciendo referencia a esta información, podría indicar que tu correo o teléfono quedaron expuestos.
