Instagram niega violación después de que los usuarios recibieron un correo electrónico para restablecer la contraseña

Instagram ha negado haber sido víctima de una violación de datos después de que varios usuarios recibieran correos electrónicos pidiéndoles que restableceran sus contraseñas.

La empresa dijo que había solucionado un problema que permitía a “partes externas” enviar solicitudes legítimas de restablecimiento de contraseña a los usuarios de la plataforma de redes sociales.

Instagram dijo que sus sistemas no habían sido vulnerados y les dijo a los usuarios que sus cuentas estaban seguras.

Pero algunos expertos han cuestionado la afirmación, y la empresa de seguridad cibernética Malwarebytes afirma que los correos electrónicos de restablecimiento de contraseña en realidad se enviaron como resultado de un pirateo.

“Los ciberdelincuentes robaron información confidencial de 17,5 millones de cuentas de Instagram, incluidos nombres de usuario, direcciones físicas, números de teléfono, direcciones de correo electrónico y más”, afirmaba una publicación en X, junto con una captura de pantalla de un correo electrónico de restablecimiento de contraseña de Instagram.

La empresa no proporcionó más detalles, pero la publicación ha sido vista más de 2,3 millones de veces.

Malwarebytes le dijo a la BBC que el correo electrónico de restablecimiento de contraseña fue el resultado directo de la venta continua de datos privados en un foro de piratas informáticos, donde un delincuente afirmó tener los datos personales de 17,5 millones de usuarios de Instagram.

El anuncio afirma que los datos provienen de una “filtración” en 2024.

Pero algunos investigadores de seguridad creen que es una base de datos antigua que se seleccionó de datos que podrían verse públicamente en 2022, como nombres y ubicaciones.

Los correos electrónicos de restablecimiento de contraseña con advertencias de Malwarebytes han causado confusión en miles de personas en las redes sociales.

Y la explicación de Instagram también ha generado dudas.

“Solucionamos un problema que permitía a una parte externa solicitar un correo electrónico para restablecer la contraseña de algunas personas”, dijo la compañía.

“No hubo ninguna violación de nuestro sistema”.

Pero Instagram no respondió a las preguntas de la BBC sobre quién era la parte externa que podía enviar solicitudes válidas de restablecimiento de contraseña en nombre de la empresa.

El correo electrónico generó preocupación entre algunos usuarios de las redes sociales, que temían que se tratara de una estafa o un intento de phishing diseñado para recopilar más datos suyos.

Pero los enlaces en el correo electrónico no parecían ser maliciosos y el proceso de restablecimiento de contraseña por el que se guió al usuario parecía ser legítimo.

Sin embargo, como siempre, se recomienda ir directamente al sitio web o la aplicación para cambiar las contraseñas y agregar protección adicional.