Una falla grave en Instagram encendió las alarmas de expertos en ciberseguridad y usuarios de todo el mundo. Un investigador independiente descubrió que, durante semanas, fue posible ver fotos, videos y textos de cuentas privadas sin tener cuenta, sin iniciar sesión y sin ser seguidor. En otras palabras, la privacidad que millones de personas confiaban en Instagram quedó expuesta por un error interno de la propia plataforma.
El problema no estaba en la app que usamos todos los días, sino en los servidores de Meta, la empresa dueña de Instagram. Es decir, en los sistemas que deciden quién puede ver qué. Por eso fue tan peligroso: aunque tu perfil estuviera marcado como “privado”, los servidores podían entregar tu contenido a cualquiera que supiera cómo pedirlo.
Qué significa que Instagram “filtrara” fotos privadas
Cuando hablamos de “filtrar” no significa que alguien haya hackeado una contraseña. Significa algo peor: Instagram, por un error en su programación, entregaba información que debía estar protegida. Era como si una puerta con llave estuviera cerrada, pero por una ventana trasera cualquiera pudiera mirar dentro.
El investigador Jatin Banga descubrió que, usando un tipo especial de petición web, Instagram respondía con un archivo oculto que incluía los enlaces directos a las fotos y videos privados. Estos enlaces apuntaban a los servidores de almacenamiento de Meta, conocidos como CDN, que son los lugares donde realmente se guardan las imágenes.
Una vez que alguien obtenía esos enlaces, podía ver, guardar o compartir el contenido sin ninguna restricción. Y eso incluye no solo las fotos y videos, sino también los textos que las personas escribieron, conocidos como “captions”.
Por qué este bug era tan peligroso para la gente
Lo más alarmante es que no hacía falta ser hacker profesional. Bastaba con simular que se estaba usando un navegador móvil y pedirle a Instagram la página de un perfil privado. En muchos casos, el sistema devolvía información que nunca debió mostrarse.
Las pruebas realizadas por el investigador mostraron que cerca de 28% de las cuentas privadas analizadas estaban afectadas. Eso significa que millones de perfiles pudieron haber quedado expuestos sin que sus dueños lo supieran.
Esto abre la puerta a usos muy peligrosos: desde personas que espían a otras, hasta robo de imágenes, acoso, extorsión o uso de fotos privadas en sitios externos. Todo esto sin que el usuario reciba una alerta de Instagram.
Además, como se trataba de enlaces directos a los servidores de Meta, una vez que alguien descargaba las imágenes, Instagram ya no tenía forma de borrarlas de internet.
Meta lo arregló en silencio, pero nunca lo reconoció
El investigador reportó la falla a Meta en octubre de 2025, con pruebas en video y un programa que demostraba el problema. Días después, el error dejó de funcionar, lo que indica que Meta lo corrigió. Sin embargo, la empresa cerró el caso diciendo que no podía reproducirlo y que no era un problema real.
Eso generó críticas, porque aunque el bug fue arreglado, Meta nunca avisó a los usuarios ni explicó qué pasó. Tampoco notificó a quienes pudieron haber sido afectados, algo que normalmente se hace cuando hay una filtración de datos.
En pocas palabras, Instagram cerró la puerta, pero no avisó que estuvo abierta.
Lo más inquietante es que, al no explicar qué se rompió, nadie puede estar seguro de que el problema esté completamente resuelto o que no vuelva a aparecer de otra forma.