Instagram ha negado que sus sistemas hayan sido vulnerados tras usuarios que reportaron haber recibido correos electrónicos inesperados de restablecimiento de contraseña. Los mensajes, que parecían ser notificaciones legítimas de recuperación de cuentas, generaron preocupación de que la información de la cuenta pudiera haber sido comprometida. Instagram afirmó que la actividad estaba vinculada a un problema técnico que afectaba a su proceso de restablecimiento de contraseña y no a acceso no autorizado a sistemas internos.
Los usuarios reportaron haber recibido correos electrónicos de restablecimiento de contraseña que no solicitaron, en algunos casos varias veces en un corto periodo de tiempo. Las notificaciones se enviaron a través del flujo de trabajo estándar de recuperación de Instagram, diseñado para ayudar a los titulares de cuentas a recuperar el acceso si olvidan su contraseña. Instagram afirmó que los correos electrónicos fueron activados por una parte externa, pero esto no significaba que las cuentas hubieran sido comprometidas ni que las contraseñas hubieran sido expuestas.
Según la empresa, el incidente implicó un problema que permitía generar mensajes de restablecimiento de contraseña sin un inicio de sesión exitoso ni comprometido la cuenta. Instagram dijo que solucionó el problema y restauró el comportamiento normal de la función de reinicio. La empresa aconsejó a los usuarios ignorar los correos de reinicio que no iniciaron y evitar interactuar con mensajes sospechosos.
Los informes surgieron junto con afirmaciones de que se estaba anunciando un gran conjunto de datos relacionado con cuentas de Instagram en espacios de ciberdelitos. Estos listados suelen alegar que se ha obtenido información personal y está disponible para su venta o distribución. Meta, la empresa matriz de Instagram, declaró que no había encontrado pruebas de una nueva brecha vinculada a la actividad de reinicio del correo electrónico y confirmó que ambos problemas no estaban relacionados.
Aunque Instagram afirmó que sus sistemas internos no fueron vulnerados, los correos electrónicos inesperados de restablecimiento de contraseña pueden seguir generando riesgos de seguridad para los usuarios. Los especialistas en ciberseguridad señalan que los atacantes pueden usar solicitudes automáticas para generar notificaciones de reinicio repetidas, ya sea para acosar a los usuarios o para aumentar la probabilidad de que alguien haga clic en un enlace de un mensaje sin verificarlo. Los intentos repetidos de recuperación de cuentas también pueden confundir, especialmente si los usuarios creen que su cuenta está siendo atacada directamente.
Investigadores de seguridad también han advertido que los mensajes relacionados con la recuperación de cuentas se utilizan frecuentemente en intentos de phishing. Los correos fraudulentos pueden imitar notificaciones legítimas de reinicio y dirigir a los usuarios a páginas de inicio de sesión falsas diseñadas para capturar credenciales. Incluso cuando un correo de restablecimiento es genuino, se recomienda a los usuarios acceder a su cuenta a través de la aplicación oficial o la página web de Instagram en lugar de hacer clic en enlaces de mensajes inesperados.
Instagram ha animado a los usuarios a revisar la configuración de seguridad de la cuenta como medida de precaución. Los pasos recomendados incluyen usar una contraseña fuerte y única, habilitar la autenticación multifactor y comprobar la actividad de inicio de sesión desconocida. También se recomienda a los usuarios confirmar que la dirección de correo electrónico y el número de teléfono asociados a su cuenta son correctos, ya que estos datos se utilizan para la recuperación y verificación.
Meta ha aconsejado anteriormente a los usuarios que traten los mensajes de seguridad no solicitados como una señal de advertencia y que eviten compartir datos de acceso a través de sitios de terceros. La empresa también ha recomendado que los usuarios informen de correos electrónicos y mensajes sospechosos a través de herramientas de plataforma siempre que sea posible.
Instagram ha dicho que el problema del restablecimiento de contraseña se ha resuelto. El incidente pone de manifiesto cómo los cambios o debilidades en los sistemas de recuperación de cuentas pueden generar una preocupación generalizada, especialmente cuando coinciden con informes separados de datos filtrados que circulan en línea.