(https://i.imgur.com/xPcr4Qh.jpeg)
Un investigador de seguridad ha revelado pruebas técnicas detalladas que demuestran que algunos perfiles privados de Instagram estuvieron filtrando enlaces a fotos y pies de foto privados a visitantes no autenticados, lo que supone un grave fallo de privacidad y control de acceso en una de las plataformas sociales más grandes del mundo.
Instagram, propiedad de Meta, ofrece desde hace años la opción de cuenta privada, diseñada para limitar el acceso a fotos, vídeos, historias y reels únicamente a seguidores aprobados por el propietario del perfil. Sin embargo, los hallazgos publicados por el investigador muestran que, bajo determinadas condiciones, parte del contenido privado se incrustaba directamente en las respuestas HTML del servidor, haciéndolo accesible a cualquier persona sin iniciar sesión.
Cómo funcionaba la filtración en perfiles privados de InstagramEl investigador de seguridad Jatin Banga demostró que ciertos perfiles privados devolvían enlaces CDN a imágenes privadas y textos de pies de foto dentro del propio código fuente HTML, incluso cuando el perfil mostraba el mensaje estándar de restricción de acceso.
CitarCuando un usuario no autenticado visitaba estos perfiles privados desde determinados dispositivos móviles o con agentes de usuario específicos, Instagram mostraba visualmente el aviso habitual:
"Esta cuenta es privada. Síguela para ver sus fotos y vídeos."
No obstante, al inspeccionar el código fuente de la página, Banga descubrió que el backend de Instagram incluía un objeto JSON llamado polaris_timeline_connection, el cual contenía URLs directas a fotografías privadas almacenadas en la CDN de Meta, además de metadatos como pies de foto.
Esto significa que, aunque el contenido no se renderizaba en pantalla, los enlaces a las imágenes privadas estaban disponibles para cualquiera con conocimientos básicos de inspección HTML, lo que representa un fallo crítico de autorización en el lado del servidor.
Prueba de concepto y alcance del problemaBanga publicó una prueba de concepto en vídeo (PoC) donde se observa claramente cómo los perfiles privados afectados filtran información sensible en tiempo real. Para mantener una divulgación responsable, el investigador limitó sus pruebas exclusivamente a cuentas privadas creadas por él mismo o para las que tenía permiso explícito.
Los resultados fueron alarmantes: al menos el 28% de los perfiles privados analizados devolvían enlaces a fotos privadas y pies de foto, sin requerir autenticación ni aprobación del propietario del perfil.
Desde una perspectiva de ciberseguridad, este tipo de fallo no es una simple filtración accidental, sino un problema estructural de control de acceso, ya que el servidor entregaba datos sin validar correctamente si el visitante estaba autorizado a recibirlos.
Meta parcheó el fallo, pero lo cerró como "no aplicable"Según el investigador, el fallo fue reportado oficialmente a Meta el 12 de octubre de 2025. Inicialmente, la compañía clasificó el problema como un fallo de caché de CDN, una explicación que Banga rechazó de forma tajante.
Citar"Esto no fue un problema de caché de CDN. El backend de Instagram no comprobaba la autorización antes de rellenar la respuesta", explicó el investigador, calificándolo como un fallo de autorización del lado del servidor.
Tras presentar un segundo informe aclaratorio y mantener largas conversaciones durante varios días, Meta cerró el caso como "no aplicable", alegando que la vulnerabilidad no podía reproducirse. Sin embargo, el exploit dejó de funcionar alrededor del 16 de octubre, apenas unos días después del reporte inicial.
Esto sugiere que Meta aplicó un parche silencioso, sin reconocer oficialmente la existencia del problema ni realizar un análisis de causa raíz.
Divulgación responsable y falta de transparenciaBanga afirmó que respetó ampliamente la ventana estándar de divulgación coordinada de 90 días, esperando 102 días completos antes de hacer pública la información. A pesar de ello, Meta nunca confirmó formalmente la naturaleza del fallo.
Citar"El exploit dejó de funcionar en todas las cuentas que probé, pero sin un análisis de causa raíz por parte de Meta, no hay confirmación de que el problema subyacente esté realmente resuelto", señaló el investigador.
Además de publicar un repositorio en GitHub con abundante evidencia técnica y correspondencia con Meta, Banga compartió materiales adicionales con BleepingComputer, medio especializado que verificó la existencia del fallo.
Por qué la Wayback Machine no pudo capturar la pruebaAnte la pregunta de por qué no se utilizó la Wayback Machine para archivar el HTML afectado, el investigador explicó que los rastreadores de Internet Archive no envían el agente de usuario móvil ni los encabezados específicos necesarios para activar la filtración en el servidor de Instagram.
En otras palabras, el fallo solo se manifestaba bajo condiciones muy concretas, lo que no invalida su gravedad, sino que refuerza la necesidad de auditorías exhaustivas en plataformas de gran escala.
Un problema mayor de privacidad y confianzaCitarBanga fue claro al afirmar que no buscaba una recompensa económica:
"Al hacer pública esta revelación, he perdido cualquier posibilidad de recompensa. El objetivo es la transparencia."
Según el investigador, Meta parcheó una filtración crítica de privacidad en menos de 96 horas, pero se negó a reconocerla públicamente, calificándola como un "efecto secundario no intencionado". Esta actitud plantea serias dudas sobre la gestión interna de vulnerabilidades, la transparencia y la protección real de los datos de los usuarios.
A día de hoy, nadie sabe cuánto tiempo estuvo activa esta filtración, ni si fue explotada por terceros maliciosos. BleepingComputer intentó contactar con Meta en tres ocasiones antes de la publicación del informe, sin obtener respuesta
Fuente: https://www.bleepingcomputer.com/