Si en els darrers dies t'han arribat un o més correus de Instagram avisant que algú ha demanat restablir la contrasenya sense que tu hagis tocat res, no és una simple casualitat ni una fallada aïllada. Milers d'usuaris a tot Europa, inclosa Espanya, estan veient com la safata d'entrada s'omple de missatges legítims de la plataforma per canviar la clau d'accés.
Darrere d'aquest bombardeig d'avisos hi ha una cosa més seriosa: una suposada filtració de dades que afectaria 17,5 milions de comptes d'Instagram, amb informació personal circulant a la dark web. Mentre la signatura de ciberseguretat Malwarebytes parla obertament de robatori massiu de dades, Meta sosté que es tracta només d'un problema de programari sense impacte a la integritat dels seus sistemes.
Què se sap de la filtració de 17,5 milions de comptes
L'alerta va saltar el 9 de gener, quan Malwarebytes, una de les empreses de ciberseguretat més conegudes, va publicar que un grup de ciberdelinqüents hi havia robat informació confidencial de 17,5 milions de perfils d'Instagram. Segons les seves anàlisis, no es tractaria d'un simple scraping de dades públiques, sinó un autèntic “kit de doxing” llest per ser explotat.
La base de dades que es mou a fòrums de ciberdelinqüència ia la dark web inclouria noms d'usuari, noms reals, adreces físiques, números de telèfon i adreces de correu electrònic, entre altres camps. És a dir, un paquet d'informació suficientment complet com per vincular la identitat digital amb la vida real, una cosa especialment preocupant al cas d'influencers, empreses i comptes d'alt perfil.
Diferents fonts que segueixen aquesta bretxa assenyalen que les dades s'estarien venent per lots, organitzats per països i nombre de seguidors. D'aquesta manera, els atacants podrien prioritzar els comptes amb més impacte públic o econòmic, com ara perfils verificats, marques o creadors de contingut amb molts seguidors a Espanya ia altres països europeus.
Alguns analistes apunten que la recopilació d'aquestes dades s'hauria produït al llarg dels darrers mesos del 2024, en part mitjançant tècniques de scraping recolzades en APIs públiques i fonts segmentades per regions. Altres investigacions parlen directament d'una filtració vinculada a una API d'Instagram, que hauria permès als atacants eludir controls i extreure'n informació massiva.
La versió d'Instagram i Meta davant de les acusacions
Mentre Malwarebytes i altres observadors parlen d'una bretxa de seguretat de gran calat, la resposta oficial de Instagram i Meta és força diferent. La companyia reconeix que hi ha hagut un problema, però el defineix com un “fallida de programari” que permetia a un tercer sol·licitar correus de restabliment de contrasenya per a alguns comptes.
En els seus comunicats, Meta insisteix que "no es va produir cap vulneració dels nostres sistemes i els vostres comptes d'Instagram estan segurs". Segons aquesta versió, els delinqüents no haurien aconseguit entrar als servidors de la companyia ni extreure dades directament de la seva infraestructura; només s'hauria explotat un problema que disparava correus legítims de recuperació de contrasenya.
El matís és important: per a Malwarebytes, estem davant d'una filtració massiva amb dades ja a la venda a la dark web; per a Instagram, el que ha passat es limita a l'enviament indegut d'emails de seguretat que, encara que molestos, no comprometen la informació emmagatzemada a la plataforma.
Aquesta tensió entre versions recorda altres episodis anteriors a l'ecosistema de Meta. A El 2021 es va fer pública una base de dades amb informació d'uns 530 milions d'usuaris de Facebook, aproximadament onze milions d'ells residents a Espanya. Aquell cop, les dades van circular de forma gratuïta per fòrums especialitzats, sense necessitat ni tan sols de pagar.
En el cas actual d'Instagram, no hi ha confirmació per part de la companyia que hi hagi un nou atac directe, però les proves exhibides per firmes de seguretat i l'activitat a mercats clandestins inclinen la balança cap a un incident de seguretat molt més seriós del que Meta admet.
Quines dades estarien exposades i per què és tan greu
La informació associada a aquesta filtració no es limita a identificadors bàsics. Segons els informes difosos, els conjunts de dades inclourien noms dusuari, correus electrònics, telèfons i adreces físiques parcials, a més d'altres detalls de contacte que permeten construir un perfil força precís de cada persona afectada.
Encara que no hi ha indicis que les contrasenyes s'hagin filtrat en text pla —cosa coherent amb les pràctiques estàndard de xifratge en grans plataformes—, això no significa que el risc sigui baix. De fet, aquesta combinació de dades personals és ideal per a campanyes de pesca molt creïbles, suplantació d'identitat i estafes financeres.
Amb l'adreça de correu i el número de telèfon vinculats a un compte real, els atacants poden enviar missatges que imiten a la perfecció les comunicacions oficials d'Instagram o Meta. Un simple avís de “problema de seguretat” o “activitat sospitosa” acompanyat d'un enllaç a una pàgina falsa pot ser suficient perquè molts usuaris introdueixin la contrasenya sense sospitar.
A més, la inclusió de direccions físiques eleva l'amenaça més enllà del que és purament digital. Aquest tipus de filtracions obre la porta al doxing (publicació maliciosa de dades privades) ia pressions o xantatges que barregen l'exposició en línia amb la seguretat personal al món real, una cosa especialment delicada per a figures públiques, periodistes, activistes o creadors de contingut amb gran visibilitat.
Els llistats per països i per nombre de seguidors permeten també dirigir atacs específics a comptes europeus o espanyols amb alt impacte, cosa que multiplica l'efectivitat de les campanyes fraudulentes. No es tracta de disparar a cegues, sinó d'anar a per objectius que puguin oferir un retorn econòmic més gran o de reputació als ciberdelinqüents.
Per què estàs rebent correus per restablir la contrasenya
Un dels efectes més visibles de tot aquest incident és la onada de correus electrònics legítims de “Reset your password” que molts usuaris estan rebent sense haver demanat cap canvi de clau. Els missatges arriben des de les adreces habituals d'Instagram, segueixen el format estàndard i, a primer cop d'ull, semblen totalment normals.
Hi ha diverses hipòtesis sobre què hi ha darrere aquest fenomen. La primera planteja un atac de força bruta automatitzat que estaria generant multitud de sol·licituds de restabliment de contrasenya per sembrar el caos. Enmig d'aquesta allau d'emails autèntics, els delinqüents intentarien colar missatges falsos amb enllaços maliciosos, confiant que l'usuari acabi punxant-ne algun sense fixar-se massa.
La segona hipòtesi, defensada en part per la mateixa Meta, és que la companyia hauria recorregut en algun moment a una mena de reinici defensiu de contrasenyes oa canvis interns als seus sistemes que haurien disparat l'enviament d'aquests correus de seguretat, especialment a comptes potencialment exposats a la filtració.
El que sí que sembla clar és que, sigui quin sigui l'origen exacte, els atacants estan aprofitant aquesta situació de confusió. Molts usuaris no recorden si han demanat o no un canvi de contrasenya, i aquest marge de dubte és precisament el que busquen els qui estan darrere de les campanyes de pesca.
Per això, els experts en ciberseguretat insisteixen que no cal prémer sobre cap enllaç de restabliment de contrasenya rebut per correu si no s'ha sol·licitat de forma conscient. La via més segura és sempre canviar la contrasenya directament des de l'aplicació o web oficial, escrivint l'adreça a mà al navegador, sense seguir enllaços continguts en emails.
Com saber si el vostre compte pot estar afectat
Davant la magnitud de la filtració, Malwarebytes ha posat a disposició dels usuaris una eina gratuïta per comprovar si una adreça de correu apareix vinculada a incidents de seguretat, inclosa aquesta bretxa d'Instagram. El procés és senzill: s'introdueix el correu electrònic, es valida amb un codi enviat a aquesta mateixa adreça i, a partir d'aquí, el sistema indica si hi ha informació associada que hagi quedat exposada.
En cas d'aparèixer en aquesta base de dades o altres de similars, convé actuar com si les dades ja estiguessin en mans de tercers. Això inclou no només revisar el compte d'Instagram, sinó també qualsevol altre servei on es faci servir el mateix correu o una combinació similar de dades personals.
Tot i així, fins i tot si l'eina no detecta la teva adreça, no vol dir que el risc sigui zero. Moltes filtracions triguen a documentar-se de forma completa, i part de les dades poden estar circulant en canals privats o fòrums restringits abans de fer-se visibles en plataformes obertes o bases de dades de comprovació.
Per això, els especialistes recomanen adoptar una actitud preventiva general: vigilar si arriben correus inesperats demanant dades personals, revisar amb més freqüència l'activitat d'inici de sessió a Instagram i altres serveis, i estar atents a qualsevol moviment estrany en perfils i safates dentrada.
A més, a la pròpia app d'Instagram hi ha una secció anomenada Correus electrònics d'Instagram, dins de la configuració de seguretat, que permet comprovar quines comunicacions recents han estat enviades realment per la plataforma. Si un missatge no apareix, és molt probable que es tracti d'un intent de pesca i el més prudent és eliminar-lo immediatament.
Mesures bàsiques per protegir el teu compte ara mateix
Més enllà del debat entre la versió de Malwarebytes i la de Meta, hi ha una sèrie de passos que pots fer des de ja per reforçar la seguretat del teu compte d'Instagram i reduir l'impacte de qualsevol filtració, estigui confirmada oficialment o no.
En primer lloc, es recomana canviar la contrasenya des de la pròpia aplicació, sense fer servir enllaços externs. La ruta, tal com indica la plataforma, és: “Configuració i activitat” > “Centre de comptes” > “Contrasenya i seguretat” > “Canviar contrasenya”. És preferible optar per una clau llarga, amb combinacions de lletres, números i símbols, i que no reutilitzis en altres serveis.
El segon pas gairebé obligatori és activar l'autenticació en dos passos (2FA). Aquesta funció afegeix una capa addicional de protecció de manera que, encara que algú obtingui la contrasenya, no pugui entrar sense un codi extra. Els experts recomanen evitar, en la mesura del possible, la verificació per SMS i apostar per aplicacions d'autenticació com Google Authenticator, Authy o altres similars.
També és convenient tancar les sessions obertes en dispositius que no reconeguis i revisar quines aplicacions de tercers tenen accés al teu compte d'Instagram. Amb el pas del temps se solen acumular permisos concedits a eines i serveis que ja no utilitzes i que, en un context de filtracions, es poden convertir en un punt feble addicional.
Finalment, és important educar-se una mica en “olfacte digital”: desconfiar de correus que demanin introduir la contrasenya, dades bancàries o codis de verificació; comprovar amb calma la direcció del remitent; i, si hi ha dubtes, acudir sempre a l'app oficial en lloc de seguir enllaços incrustats al missatge.
Un episodi més a la llarga llista de bretxes de dades
El que ha passat amb aquests 17,5 milions de comptes d'Instagram encaixa en una tendència que fa anys que es repeteix: grans plataformes socials i tecnològiques que acumulen quantitats immenses de dades personals i que, tard o d'hora, acaben veient part d'aquesta informació filtrada, revenuda o explotada per actors malintencionats.
El cas recorda inevitablement la filtració de més de 500 milions d'usuaris de Facebook el 2021, on les dades van aparèixer publicades en fòrums de manera pràcticament gratuïta, sense passar per subhastes privades. Aleshores, milions de números de telèfon i altres detalls personals d'usuaris de tot el món, inclosos milions d'espanyols, van quedar exposats a campanyes de correu brossa, phishing i suplantacions d'identitat.
Tot i que en aquesta ocasió Meta nega un atac directe contra els seus sistemes, la combinació d'un possible abús d'APIs, tècniques de scraping avançades i una fallada de programari a l'enviament de correus de seguretat dibuixa un escenari complex per a lusuari mitjà. La línia entre “no hi ha hagut vulneració” i “les teves dades estan circulant per la dark web” pot ser més fina del que sembla quan entren en joc tercers serveis i eines connectades.
A això cal sumar-hi que els ciberdelinqüents ja no es conformen amb atacs massius i grollers. Les campanyes que s'estan començant a veure arran d'aquesta filtració són cada cop més sofisticades, adapten el llenguatge al país, personalitzen els missatges amb dades reals i aprofiten el context (per exemple, l'onada de correus d'Instagram) per semblar encara més creïbles.
En aquest context, els usuaris a Espanya i la resta d'Europa s'enfronten a un escenari on l'única defensa realista passa per combinar bones pràctiques de seguretat, cert escepticisme davant dels correus que arriben i l'ús sistemàtic de capes addicionals de protecció com l'autenticació en dues passes. Encara que no es puguin evitar totes les bretxes, sí que es pot aconseguir que els seus efectes siguin molt menys perjudicials.
Tot apunta que aquest incident de 17,5 milions de comptes d'Instagram a la diana no serà l'últim gran sobresalt en matèria de privadesa digital, però serveix com a recordatori clar que convé prendre's seriosament cada avís de seguretat, revisar contrasenyes amb certa freqüència i desconfiar per sistema de qualsevol missatge que ens demani accedir al nostre compte amb presses o urgències sospitoses.
