Una reciente vulnerabilidad de seguridad en Instagram puso en riesgo la privacidad de numerosos usuarios, al permitir que fotos, videos y textos de cuentas privadas fueran visibles sin necesidad de iniciar sesión ni seguir al perfil afectado. El fallo fue descubierto por el investigador independiente en ciberseguridad Jatin Banga y ya ha sido corregido por Meta, la empresa matriz de la plataforma. Sin embargo, el incidente ha reavivado el debate sobre cómo se gestionan los contenidos privados en el backend de las redes sociales.
El problema afectaba específicamente a la versión web móvil de Instagram, no a la aplicación nativa. En determinadas condiciones, usuarios no autorizados podían acceder a enlaces directos de contenido privado alojado en la red de distribución de contenido (CDN) de Meta, así como a los textos o descripciones asociados a esas publicaciones.
¿Qué causó la falla de seguridad?
Según explicó Banga, la raíz del problema estuvo en controles de autorización del lado del servidor insuficientemente estrictos. En ciertos escenarios, una solicitud web combinada con encabezados específicos de navegadores móviles permitía eludir las restricciones normales de acceso.
En lugar de bloquear estas solicitudes no autorizadas, los servidores de Instagram devolvían información interna que incluía:
- Enlaces directos a fotos y videos privados
- Captions o descripciones asociadas a esas publicaciones
Este comportamiento no era constante, lo que complicó su detección y aumentó el riesgo de que el problema pasara desapercibido durante un largo periodo.
Lo que se sabe hasta ahora
Durante las pruebas realizadas por el investigador, aproximadamente el 28 % de las cuentas privadas analizadas resultaron vulnerables, mientras que el resto permaneció completamente protegido. Esta exposición parcial indicó que no se trataba de un fallo generalizado de la plataforma, sino de una condición específica relacionada con el estado del backend o la gestión de sesiones.
Precisamente esta inconsistencia es lo que más preocupa a los expertos en seguridad. Al no afectar a todos los usuarios, la vulnerabilidad podía no generar alertas masivas ni denuncias inmediatas, reduciendo las probabilidades de una investigación rápida.
Respuesta de Meta
La vulnerabilidad fue reportada oficialmente a Meta el 14 de octubre de 2025, aunque ya había sido detectada previamente en un feed de terceros. En cuestión de días, la empresa corrigió el problema. No obstante, Meta descartó el informe como un “bug tradicional” y señaló que el fallo fue solucionado mediante actualizaciones de infraestructura, en lugar de aplicar un parche específico.
De acuerdo con la evidencia disponible hasta el momento, la vulnerabilidad ya no está siendo explotada.
Preocupación entre los investigadores
A pesar de la rápida corrección, Banga expresó su inquietud sobre la forma en que se gestionó el caso. Según el investigador, los errores de seguridad que afectan solo a un subconjunto de usuarios pueden ser incluso más peligrosos que los fallos generalizados.
“Las vulnerabilidades de exposición parcial suelen ser más difíciles de detectar y corregir, ya que no provocan alertas inmediatas ni investigaciones urgentes”, afirmó. Esto puede dejar a ciertos usuarios expuestos durante largos periodos sin saberlo.
Un recordatorio sobre la privacidad digital
Este incidente sirve como un recordatorio de que incluso las plataformas más grandes y populares pueden presentar fallas críticas en la protección de datos. Para los usuarios, refuerza la importancia de mantenerse informados, revisar con frecuencia la configuración de privacidad y ser conscientes de que ningún sistema es completamente infalible.
Para las empresas tecnológicas, el caso subraya la necesidad de auditorías constantes, controles de autorización más robustos y una mayor transparencia en la gestión de errores que comprometen la información privada de los usuarios.