EU.- Una vulnerabilidad grave en los servidores de Instagram permitió a atacantes no autenticados acceder a fotos y captions privados sin necesidad de login ni relación de seguidor. El problema, originado en un fallo lógico de autorización en lugar de un simple error de caché, se explotaba manipulando cabeceras HTTP en la interfaz web móvil, exponiendo contenidos sensibles de cuentas privadas. Según reportes, Meta parcheó el bug en silencio en octubre de 2025, pero inicialmente lo desestimó como “No Aplicable” sin reconocer su gravedad ni recompensar al investigador.

El descubrimiento lo hizo el investigador de seguridad Jatin Banga, quien lo reportó a través del programa de bug bounty de Meta tras 102 días de esfuerzos coordinados. A pesar de la evidencia, la compañía cerró el informe sin validar la causa raíz, aunque aplicó el fix días después, lo que genera dudas sobre su transparencia en temas de privacidad. Fuentes como Reddit y GBHackers confirman que Instagram está investigando, pero no hay detalles sobre si hubo explotaciones reales o cuántos usuarios se vieron afectados.

Este incidente subraya las persistentes brechas en la ciberseguridad de Meta, donde la priorización de parches sobre la rendición de cuentas pone en riesgo la confianza de millones de usuarios. En un contexto de crecientes fugas de datos urge mayor rigor en los protocolos de respuesta, evitando que fallos como este se conviertan en puertas abiertas para abusos mayores.