Un fallo en Instagram dejó expuestos datos sensibles durante el restablecimiento de contraseña
El 6 de junio de 2026, se detectó una vulnerabilidad crítica en la interfaz web de restablecimiento de contraseña de Instagram que mostró direcciones de correo electrónico y números telefónicos asociados a las cuentas sin ningún tipo de enmascaramiento. Esto incluía perfiles de figuras públicas reconocidas.
La falla consistía en que, al iniciar un restablecimiento de contraseña para cualquier usuario, el sistema respondía con datos de contacto completos en lugar de versiones parcialmente ocultas, como suele ser estándar para proteger la privacidad.
Esta exposición violaba las políticas internas de minimización de datos de Meta y podría contravenir regulaciones de privacidad como el artículo 25 del GDPR, que exige privacidad por diseño.
La vulnerabilidad fue detectada y divulgada públicamente por investigadores de seguridad, quienes compartieron capturas de pantalla que evidenciaban la magnitud del problema. En pocas horas, Meta lanzó un parche de emergencia para corregir el error, aclarando que no hubo una brecha de seguridad ni acceso no autorizado a sus sistemas.
Este incidente se suma a otros problemas de seguridad que Instagram ha enfrentado en 2026, incluyendo abusos en el sistema de restablecimiento de contraseña y vulnerabilidades en su chatbot de soporte impulsado por inteligencia artificial.
Los expertos señalan que la automatización de funciones sensibles mediante IA, sin controles robustos de verificación de identidad, puede aumentar los riesgos de seguridad.
Aunque Meta confirmó que no hubo una extracción masiva de datos, la exposición temporal de información sin enmascarar representa un riesgo real para ataques de phishing, suplantación de identidad vía SIM y toma de control de cuentas.
Reflexión para empresas y equipos IT
Este caso muestra que incluso plataformas con recursos avanzados pueden tener fallos en procesos críticos como la recuperación de cuentas. La gestión de datos sensibles debe ser rigurosa, especialmente cuando se automatizan flujos con inteligencia artificial.
Las empresas deben revisar sus propios mecanismos de recuperación de acceso y asegurarse de que no expongan información que facilite ataques dirigidos.
¿Cómo está tu organización manejando la protección de datos en procesos de recuperación de acceso? ¿Confías en la automatización sin controles adicionales?
