Se ha identificado una vulnerabilidad crítica en la infraestructura de Instagram que permitió el acceso no autenticado a publicaciones privadas (imágenes y textos) de determinadas cuentas, sin necesidad de iniciar sesión ni mantener una relación de seguimiento con las personas afectadas.
La incidencia se originó por un fallo en la lógica de autorización del lado del servidor, y no por un error de caché, lo que permitió eludir los controles de privacidad en condiciones específicas.
Sistemas afectados
- Plataforma: Instagram
- Interfaces afectadas: versión web móvil
- Tipo de cuentas: cuentas privadas en determinados estados de configuración
Descripción técnica del problema
La vulnerabilidad permitía que un atacante realizase solicitudes HTTP GET no autenticadas a perfiles privados, utilizando cabeceras específicas de agente de usuario móvil. Como respuesta, el servidor devolvía un objeto JSON interno (polaris_timeline_connection) que incluía:
- Enlaces directos CDN a contenido multimedia privado
- Textos asociados a las publicaciones
- Metadatos normalmente restringidos a seguidores autorizados
En condiciones normales, este objeto debería estar vacío o restringido cuando el perfil es privado y el solicitante no está autorizado.
Flujo de explotación (resumen)
- Envío de una solicitud GET manipulada a un perfil privado
- Respuesta del servidor con datos embebidos en formato JSON
- Extracción del objeto interno con referencias a contenido privado
- Acceso directo a imágenes y detalles de la publicación a través de CDN
Las pruebas indican que aproximadamente un 28 % de las cuentas analizadas resultaron vulnerables, dependiendo del estado interno de la sesión y de la configuración del backend.
Clasificación
- Tipo: Vulnerabilidad de autorización en el lado del servidor
- Impacto principal: Confidencialidad
- CVE asignado: No existe CVE público asociado
- Severidad: Alta
- Motivo: Exposición directa de contenido privado sin autenticación
Estado actual
- La vulnerabilidad ha sido corregida en el lado del servidor mediante un parche silencioso
- No se ha publicado un aviso oficial detallado ni un análisis de causa raíz
- El fallo dejó de ser reproducible tras la corrección aplicada
Riesgos
- Exposición no autorizada de contenido privado
- Impacto directo en la privacidad de las personas usuarias afectadas
- Dificultad para detectar la explotación por parte de las víctimas
Recomendaciones
- Revisar periódicamente la configuración de privacidad de las cuentas
- Limitar la publicación de contenido sensible en redes sociales
- Aplicar medidas adicionales de protección de la identidad digital
- Seguir las comunicaciones oficiales de la plataforma sobre cambios de seguridad
- Incorporar este tipo de riesgos en evaluaciones de impacto y programas de concienciación
Consideraciones adicionales
Esta incidencia pone de manifiesto los riesgos asociados a fallos de autorización en el lado del servidor, especialmente en plataformas de gran escala. Las correcciones silenciosas, sin comunicación transparente, dificultan la evaluación real del impacto y el aprendizaje colectivo en materia de seguridad.
La protección de la privacidad en servicios digitales requiere no solo configuraciones adecuadas por parte de las personas usuarias, sino también controles de seguridad robustos y verificables desde el diseño de las plataformas.
