Una vulnerabilidad en Instagram permitió durante varias semanas el acceso no autenticado a publicaciones privadas, contraviniendo el modelo de privacidad de la plataforma y exponiendo contenidos que los usuarios consideraban protegidos.
Un investigador independiente identificó que, a través de la versión web móvil de Instagram, era posible obtener enlaces CDN a imágenes y otros contenidos de cuentas configuradas como privadas sin necesidad de iniciar sesión.
El origen del problema se encontraba en una validación incorrecta de la autorización en el servidor, que devolvía contenido privado incrustado en respuestas HTML accesibles públicamente.
El fallo no afectaba de forma uniforme a todas las cuentas, lo que dificultó su detección y, por ende, incrementó el riesgo.
Cómo se descubrió la vulnerabilidad
El hallazgo fue realizado por un hacker ético durante el desarrollo de una herramienta de automatización de peticiones HTTP, y los resultados de su análisis fueron publicados en Medium:
- Observó respuestas no autenticadas con enlaces CDN válidos.
- Accedió a imágenes privadas en resolución completa.
- Repitió las pruebas en cuentas propias o con permiso explícito.
- Confirmó que el acceso persistía incluso tras varias horas y pruebas repetidas.
En las pruebas controladas:
- 2 de 7 cuentas privadas resultaron vulnerables (~28%).
El patrón parecía condicionado por factores como la antigüedad de la cuenta, aunque no se identificó la causa exacta.
Datos presuntamente expuestos
Según la documentación técnica publicada, podían quedar accesibles:
- Imágenes privadas en resolución completa.
- Texto de las publicaciones (captions).
- Metadatos asociados al contenido.
- Enlaces CDN reutilizables fuera de Instagram.
No se trataba de perfiles públicos ni de errores de configuración del usuario.
Respuesta de Meta (Instagram)
Meta, empresa matriz de Instagram, Facebook y WhatsApp, tiene la obligación de responder a este tipo de descubrimientos como responsable directa de la plataforma.
- 12 de octubre de 2025: el investigador reportó el fallo al programa de bug bounty de Meta con pruebas completas.
- El primer informe fue cerrado erróneamente como un problema de caché.
- Tras insistir, Meta revisó el caso.
- 16 de octubre de 2025: la vulnerabilidad dejó de funcionar sin aviso previo.
- Meta aplicó un parche silencioso, sin notificación ni reconocimiento formal.
- Posteriormente, la compañía afirmó no poder reproducir el problema y cerró el caso como “no aplicable”.
Por otra parte, no se facilitó un análisis de causa raíz ni una confirmación técnica del fallo. La vulnerabilidad fue real y funcional, respaldada por evidencias técnicas verificables. Aunque actualmente no es reproducible con las pruebas disponibles, no puede asegurarse que la causa subyacente haya sido eliminada por completo.
La privacidad declarada por una plataforma no garantiza necesariamente una privacidad efectiva. Los fallos condicionales y silenciosos resultan especialmente peligrosos, ya que pueden pasar desapercibidos y dificultan su detección y auditoría.
Más información:
- Fuente: redeszone.net.
- Referencia técnica y divulgación del hacker ético: medium.com.
