Pulsa F12 y verás: tu perfil privado en Instagram no es tan privado como crees.
Detectan en una red social un fallo que exponía enlaces directos a las fotos de perfiles cerrados.
El especialista en seguridad Jatin Banga publicó pruebas técnicas de que algunos perfiles privados de Instagram en ciertos casos proporcionaban enlaces a las imágenes y a sus leyendas a visitantes no autorizados. Se trata de perfiles donde el acceso a fotos y vídeos debe estar disponible solo para seguidores aprobados.
Al abrir normalmente ese perfil sin iniciar sesión se muestra la notificación estándar de que la cuenta está privada y que hay que seguirla para ver el contenido. Sin embargo, en el código fuente de la página que recibe el dispositivo del usuario, el investigador encontró enlaces embebidos a algunas de las fotos y textos. Esos datos estaban dentro de un bloque de datos interno y apuntaban a archivos en una red de entrega de contenido.
El problema no siempre se manifestaba y dependía del tipo de dispositivo y de los parámetros de la solicitud. Según el investigador, al comprobar perfiles privados de prueba a los que tenía acceso legal, la filtración se observó en aproximadamente el 28% de las cuentas. Publicó un video en el que se muestra el proceso para obtener esos enlaces sin iniciar sesión.
El hallazgo fue notificado a la empresa Meta el 12 de octubre de 2025. Al principio, los especialistas de la compañía consideraron que la causa estaba relacionada con la caché en la red de entrega de contenido. El investigador no estuvo de acuerdo y afirmó que el error ocurría en la lógica del servidor, donde no se realizaba una comprobación adecuada de los permisos de acceso antes de generar la respuesta.
Envío un informe adicional con aclaraciones, tras lo cual la correspondencia con los representantes de la compañía continuó durante varios días. Finalmente, el caso se cerró con el estado «no aplicable», ya que no se pudo reproducir el error. Además, aproximadamente al cabo de unos días desde el primer aviso la vulnerabilidad dejó de manifestarse en todos los perfiles comprobados.
El especialista señaló que dio a la compañía más de 100 días para una divulgación coordinada, aunque el plazo estándar es de 90 días. Según él, el problema fue corregido entre 48 y 96 horas después del informe, pero sin reconocimiento oficial ni explicación de las causas. Subraya que no reclama una recompensa y que publicó la información por transparencia, ya que se desconoce cuánto tiempo pudo haberse aprovechado esa vulnerabilidad en la práctica.
Para confirmarlo, publicó un archivo con los materiales y la correspondencia con los representantes de la compañía en un repositorio público. Se entregaron pruebas adicionales a periodistas del medio especializado. El servicio de archivo web no pudo registrar la filtración, ya que sus robots no envían los encabezados necesarios de dispositivo móvil con los que se manifestaba el error.