Un exploit en Instagram expuso tus fotos privadas: cómo protegerte

Una vulnerabilidad en Instagram permitió a cualquier atacante ver fotos de cuentas privadas sin necesidad de seguir al usuario ni autenticarse. El fallo, reportado en julio de 2025, afectó a millones de cuentas y demuestra que la seguridad de las redes sociales nunca es absoluta.

Por qué importa

Si tienes una cuenta privada en Instagram, confías en que solo tus seguidores aprobados ven tu contenido. Este exploit rompió esa confianza: bastaba con enviar una petición GET no autenticada a instagram.com/<usuario_privado> con ciertos encabezados de móvil para que el servidor devolviera HTML con los datos JSON de las publicaciones. No se requería ingeniería social ni malware. El riesgo no es teórico: el investigador de seguridad que descubrió el fallo lo reportó a Meta, pero la vulnerabilidad ya había sido explotada en la naturaleza.

Qué dice el contexto

• La vulnerabilidad era un fallo de autorización del lado del servidor, no un problema de caché CDN. Los atacantes enviaban peticiones GET no autenticadas a instagram.com/<private_username> con encabezados específicos de móvil, y el servidor respondía con HTML que contenía estructuras JSON incrustadas con datos de publicaciones privadas.
• El exploit permitía acceder a fotos, pies de foto y metadatos de cuentas privadas sin necesidad de inicio de sesión ni aprobación del usuario.
• Meta corrigió el fallo tras ser notificada, pero no se ha revelado cuánto tiempo estuvo activo ni cuántas cuentas se vieron comprometidas.
• Este incidente se suma a una larga lista de brechas en plataformas sociales, recordando que la privacidad en línea depende tanto de la configuración del usuario como de la seguridad del servidor.