En els últims dies, molts usuaris d'Instagram a Espanya ia la resta d'Europa han començat a notar una cosa rara a la safata d'entrada: correus per resetejar la contrasenya que ells mai no han demanat. Per a alguns ha estat un simple ensurt; per a altres, la prova que alguna cosa seriosa estava passant amb la seguretat de la xarxa social.
En paral·lel, una important signatura de ciberseguretat ha fet públic que s'hauria filtrat informació de 17,5 milions de comptes d'Instagram, les dades personals del qual estarien circulant en fòrums de la dark web. Mentrestant, Instagram nega haver estat hacker i parla només d'un “problema de programari” amb els correus de restabliment. Entre versions creuades, toca aclarir què se sap, quins riscos reals hi ha i com hauries d'actuar.
Què s'ha filtrat i qui ho ha descobert
Les primeres alarmes van saltar quan usuaris de tot el món van començar a compartir a les xarxes socials que rebien correus massius per canviar la contrasenya d'Instagram sense haver sol·licitat res. Alguns asseguraven que aquests correus electrònics arribaven diverses vegades al dia, cosa que anava molt més enllà d'una distracció puntual amb l'inici de sessió.
En aquest context, l'empresa de ciberseguretat Malwarebytes va publicar un informe detallant una filtració massiva que afectaria aproximadament 17,5 milions de comptes de la plataforma. Segons la investigació, un grup de ciberdelinqüents hauria robat un conjunt de dades molt ampli amb informació personal d'usuaris d'Instagram.
D'acord amb Malwarebytes i altres analistes de seguretat, s'inclouen en aquesta base de dades filtrada noms d'usuari, adreces de correu electrònic, números de telèfon i adreces físiques. No es tractaria només de dades bàsiques de perfil, sinó d'un “kit de doxing” amb potencial per identificar persones concretes, una cosa especialment delicada en el cas de figures públiques, influencers o comptes corporatius europeus.
Experts que han seguit el cas assenyalen que el paquet de dades s'hauria publicat a BreachForums i altres mercats clandestins, on es ven en lots segmentats per país i nombre de seguidors. Això vol dir que, en teoria, també hi hauria registres d'usuaris d'Espanya i d'altres països de la UE organitzats de manera específica.
La versió de Malwarebytes davant de la versió d'Instagram
La investigació de Malwarebytes sosté que la filtració no és un simple scraping superficial de perfils públics, sinó el resultat d'un accés no autoritzat a un gran volum de dades, probablement originat el 2024 i relacionat amb l'ús o l'abús d'APIs d'Instagram. En alguns fòrums s'esmenta fins i tot actors concrets que haurien compartit el lot original de dades, oferint-lo en formats JSON i TXT.
En aquesta narrativa, els ciberdelinqüents haurien utilitzat la informació filtrada per llançar campanyes de phishing molt afinades, enviant correus que imiten els missatges legítims de recuperació de contrasenya d'Instagram. En conèixer el correu, el nom d'usuari i fins i tot la localització aproximada de la víctima, els atacants poden construir missatges que sonen creïbles i difícils de distingir dels oficials.
Instagram, per part seva, ha sortit al pas negant que s'hagi produït un hackeig als seus sistemes. La companyia, propietat de Meta, admet que hi havia una fallada que permetia a un tercer sol·licitar correus de restabliment de contrasenya per a alguns comptes, però insisteix que no s'han accedit als servidors ni s'han filtrat contrasenyes.
En el comunicat, la xarxa social explica que es va tractar d'un “problema de programari” ja solucionat, demana disculpes per les molèsties i recalca que “no es va produir cap vulneració” i que els comptes “estan segurs”. Segons aquesta versió, els correus electrònics que han desfermat l'alarma serien conseqüència d'aquest bug i no d'una intrusió a la plataforma.
La discrepància entre les dues versions és clau: mentre que Malwarebytes parla de 17,5 milions de perfils amb dades personals exposades i venuts a la dark web, Instagram intenta fitar l'incident a un error en el procés d'enviament de correus de recuperació. De moment, Meta no ha publicat un informe tècnic detallat que aclareixi completament els dubtes, i la sensació d'incertesa entre part dels usuaris europeus segueix aquí.
Quines dades estarien en joc i per què és tan delicat
Més enllà del debat sobre l'origen exacte de l'incident, el que preocupa els especialistes és la naturalesa de la informació filtrada. Segons les anàlisis que s'han fet públiques, el conjunt de dades inclouria, en molts casos, els elements següents:
- Nom d'usuari d'Instagram, tal com apareix a la plataforma.
- Adreça de correu electrònic associada al compte, usada per a registre i recuperació.
- Número de telèfon vinculat al perfil, sovint necessari per a la verificació.
- Adreça o ubicació física, almenys de forma parcial.
A més, el fet que les contrasenyes no figurin al paquet de dades no significa que els comptes estiguin fora de perill del tot. Amb la informació disponible, els atacants poden explotar el mecanisme de restabliment de contrasenya, provar combinacions reutilitzades en altres serveis o enviar correus extremadament convincents perquè sigui el mateix usuari qui lliuri les seves credencials.
Als fòrums on s'han localitzat aquestes dades, alguns venedors presumeixen d'oferir llistes ordenades per país, idioma o nombre de seguidors, cosa que permetria dirigir atacs específics a comptes amb alt impacte. Influencers europeus, petites empreses locals que depenen d'Instagram per a vendes o mitjans de comunicació amb gran abast, es converteixen així en objectius prioritaris.
L'onada de correus de restabliment i el paper del phishing
Una de les conseqüències més visibles de tot aquest incident ha estat l'allau de correus electrònics de restabliment de contrasenya que molts usuaris han rebut sense haver-la sol·licitat. Aquestes notificacions, que solen arribar des de l'adreça oficial d'Instagram, han generat una gran confusió.
En primer lloc, la mateixa decisió reconeguda per la plataforma hauria permès que un tercer disparés de forma automatitzada aquestes sol·licituds, provocant que milions de persones veiessin un email legítim dient que algú volia canviar la seva clau. Això, per ell mateix, ja és inquietant, encara que l'usuari ignori el missatge.
El problema és que aquest soroll ha estat aprofitat per barrejar enmig d'aquests avisos reals altres correus falsos, amb enllaços cap a pàgines que imiten l'inici de sessió d'Instagram. Aquí és on entra en joc el phishing de tota la vida: si l'usuari fa clic i escriu la contrasenya, li lliura directament a l'atacant.
Els ciberdelinqüents, coneixent ja el correu associat al compte, el nom d'usuari i fins i tot el país o la ciutat, poden redactar missatges molt creïbles: "Hem detectat un accés sospitós al teu compte des d'Espanya" o “El teu perfil ha estat denunciat per infringir les nostres normes, verifica la teva identitat aquí”. Aquest tipus de textos, acompanyats de logotips i dissenys calcats als oficials, compliquen molt distingir el que és real del que és fals.
A Espanya i altres països europeus, entitats de ciberseguretat fa temps que avisen que les xarxes socials s'han convertit en un dels principals ganxos per a fraus en línia. Un incident d'aquesta mida, amb milions de correus i telèfons exposats, és un brou de cultiu perfecte per a una nova onada d'atacs.
Com comprovar si el teu correu o compte estan afectats
Davant del volum d'informació que es maneja, és lògic que et preguntis si el teu correu apareix en alguna d'aquestes llistes. Per sortir de dubtes, hi ha diverses opcions que permeten consultar si la teva adreça ha aparegut en filtracions conegudes.
D'una banda, serveis consolidats com haveibeenpwned.com recopilen des de fa anys bases de dades filtrades i permeten comprovar, introduint el vostre correu electrònic, si s'ha vist compromès en algun incident. Si l'utilitzes, podràs veure a quines bretxes anteriors ha aparegut la teva adreça i si entre elles figura una relacionada amb Instagram.
A més, Malwarebytes ha habilitat la seva pròpia eina de comprovació, enfocada precisament a aquesta filtració concreta ia altres incidents recents. El procés sol ser senzill: introdueixes el correu electrònic vinculat al teu compte d'Instagram, reps un codi de verificació en aquesta adreça i l'introdueixes a la web per validar que ets el titular.
Un cop completat el pas de verificació, l'eina us indica si la teva informació personal es troba en alguna de les bases de dades analitzades. En cas afirmatiu, sol detallar en quins incidents ha aparegut i quins tipus de dades s'han exposat: correu, telèfon, adreces o informació parcial del perfil.
Convé recordar que el fet que el teu correu hagi aparegut en una filtració no significa automàticament que algú estigui dins del teu compte ara mateix, però sí que implica que les teves dades circulen per canals que no controles i que has de reforçar les teves mesures de seguretat immediatament.
Què cal fer si reps correus per canviar la contrasenya
Si esteu rebent aquests correus de “Reset your password” o avisos en espanyol indicant-vos que s'ha sol·licitat restablir la contrasenya del vostre compte, el primer és mantenir la calma i aplicar unes quantes regles bàsiques.
La recomanació general dels experts és contundent: no cliquis mai en els enllaços inclosos en aquests emails, encara que el missatge sembli perfectament legítim i vingui d'una adreça reconeixible. El correu pot ser real o fals, però el risc que us porti a un lloc maliciós és massa alt.
Si vols canviar la contrasenya per precaució, fes-ho sempre des de l'aplicació oficial o des de la web d'Instagram escrivint tu mateix l'adreça al navegador. No accediu mai al vostre compte a través d'un enllaç que us arribi per correu o SMS, per més que el text sigui convincent.
En cas de dubte sobre si el mail és oficial, dins de l'app d'Instagram podeu consultar la secció Correus electrònics d'Instagram, a l'apartat de seguretat. Aquí veuràs un historial dels missatges que la plataforma assegura haver enviat realment a la teva adreça, cosa que et permet descartar comunicacions fraudulentes.
Si després de tot tens la sensació que algú ha intentat entrar al teu perfil, convé també revisar els dispositius amb sessió iniciada i tancar qualsevol accés que no reconeguis, una cosa que es pot fer directament des del menú de seguretat del compte.
Com canviar la contrasenya des de l'app o la web
Actualitzar la contrasenya és una de les primeres mesures que hauries de prendre si el teu correu apareix en alguna filtració o si has rebut correus sospitosos. La clau és a fer aquest canvi únicament des dels ajustaments oficials d'Instagram, sense passar per enllaços externs.
Al mòbil, el procés és força directe. Obre l'app, entra al teu perfil i toca la icona de les tres línies a la cantonada (en funció de la versió, pot estar amunt o avall). Des d'aquí, accedeix al Centre de comptes, la secció on es gestionen els perfils dels serveis de Meta, com Facebook o Instagram.
Un cop dins del Centre de comptes, assegura't que tens seleccionat el teu compte d'Instagram i entra a l'apartat Contrasenya i seguretat. Allà hi veuràs l'opció canviar contrasenya, que és el lloc correcte per modificar-la sense riscos.
A la versió web, des de l'ordinador, el camí és molt similar. Has de fer clic al menú de configuració, localitzar el Centre de comptes i, dins seu, anar a la secció de Contrasenya i seguretat. Des d'aquí, tria canviar contrasenya i segueix les instruccions que et demani la plataforma.
És important que la nova clau sigui llarga, robusta i única: combina lletres majúscules i minúscules, números i símbols, i evita reutilitzar contrasenyes que ja facis servir en altres serveis. Si us costa gestionar-les, un gestor de contrasenyes fiable us pot ajudar a no haver de recordar-les totes de memòria.
Autenticació en dos passos i altres mesures de protecció
Canviar la contrasenya és un pas fonamental, però no és l'únic. L'autenticació en dos passos (2FA) ha esdevingut gairebé obligatòria per als que volen mantenir les seves xarxes socials una mica més fora de perill en un context de filtracions constants.
A Instagram, pots activar la verificació en dos passos des del mateix menú de Contrasenya i seguretat. La recomanació de molts especialistes és evitar, si és possible, la verificació via SMS, ja que els missatges de text poden ser interceptats o suplantats, i optar per aplicacions d'autenticació com Google Authenticator, Authy, Bitwarden o opcions similars.
Amb la 2FA activada, encara que algú aconsegueixi la teva contrasenya per una distracció o per un engany, seguirà necessitant un codi temporal addicional per entrar al teu compte. Aquest codi es genera al teu mòbil i canvia cada pocs segons, complicant molt més la vida als atacants.
Una altra mesura molt útil és revisar la llista de dispositius amb sessió iniciada al vostre compte. A la secció de seguretat trobaràs l'apartat on es mostren tots els mòbils, ordinadors i tauletes que hi tenen accés actualment. Si en veus algun que no reconeixes o que ja no fas servir, pots tancar sessió de forma remota.
Finalment, convé fer una ullada a les aplicacions de tercers que has vinculat al teu compte d'Instagram. Eines per programar publicacions, apps de filtres o serveis d'estadístiques poden esdevenir baules febles si no estan ben mantingudes. Revoca l'accés a les que no necessitis o que no t'ofereixin confiança.
En un escenari com l'actual, amb filtracions que afecten milions de perfils i campanyes de pesca cada vegada més elaborades, la seguretat del teu compte d'Instagram depèn tant del que faci la plataforma com de les decisions que tu prenguis en el dia a dia: desconfiar d'enllaços sospitosos, utilitzar contrasenyes fortes, activar la verificació en dos passos i vigilar de tant en tant en quins llocs han acabat les teves dades són petites rutines que et poden estalviar molts problemes més endavant.
