Según informes del 11 de enero, el medio extranjero Dailymail informó que millones de usuarios de Instagram en todo el mundo han recibido una cantidad inusualmente densa de correos electrónicos de restablecimiento de contraseña, lo que ha provocado preocupación generalizada y problemas de seguridad. Varias agencias de ciberseguridad y medios extranjeros señalaron que se sospechaba que la información personal sin contraseña (incluidos nombres de usuario, nombres reales, direcciones de correo electrónico, números de teléfono, direcciones parciales y otra información de contacto) de alrededor de 17,5 millones de cuentas se obtuvo ilegalmente a través de la interfaz API de Instagram en 2024, y fue publicada públicamente en el foro BreachForums por un actor de amenazas con nombre en código "Solonnik" el 8 de enero de 2026. El conjunto de datos contiene más de 17 millones de registros y está disponible para descarga gratuita.
Después de que se expuso el incidente, la empresa de seguridad Malwarebytes emitió una advertencia temprana en las plataformas sociales el 10 de enero, enfatizando que, aunque el lote de información no contenía contraseñas de texto claro ni credenciales cifradas, los datos de identidad personal altamente estructurados podrían usarse fácilmente para actividades delictivas posteriores, como phishing, ataques de ingeniería social, suplantación de identidad y fraude financiero. Durante el mismo período, una gran cantidad de usuarios informaron haber recibido correos electrónicos de restablecimiento estandarizados de Instagram en un corto período de tiempo. El contenido contenía un llamativo botón azul "Restablecer contraseña" y un mensaje estándar: "Si ignora este correo electrónico, su contraseña no se cambiará; si no se inicia ninguna solicitud, infórmenos".
En respuesta a las preocupaciones del público, Meta emitió oficialmente una declaración el 11 de enero. La empresa lo dejó claro: "No se ha producido ninguna violación de datos, los sistemas de Instagram no se han visto comprometidos y las cuentas de los usuarios permanecen seguras".
Según un portavoz de Meta, este desencadenante de correo electrónico a gran escala fue causado por una vulnerabilidad técnica fija que permitió a personas externas eludir el proceso de verificación normal e iniciar solicitudes falsas de restablecimiento de contraseña en lotes para algunos usuarios de Instagram, lo que provocó que el sistema enviara automáticamente correos electrónicos de restablecimiento.
Meta enfatizó que las vulnerabilidades relevantes se repararon lo antes posible después de su descubrimiento y confirmó que no hay evidencia de que el problema se haya utilizado para la apropiación maliciosa de cuentas u otros comportamientos de penetración lateral. Meta se disculpó por la confusión pública causada por esta falsa alarma y reiteró su compromiso de continuar invirtiendo en actualizaciones de seguridad de infraestructura y control de acceso a API.