Instagram ha lanzado recientemente “Friend Map”, una función que permite ver en tiempo real la ubicación de nuestros contactos. Aunque se presenta como una herramienta para descubrir puntos de encuentro y compartir momentos, también ha generado preocupación inmediata (y justificada) en el ámbito de la ciberseguridad.
Compartir la ubicación no solo implica comodidad: también supone un desafío en términos de privacidad, control de datos y seguridad física. Aunque la función es opcional, su diseño y el entorno social de la plataforma pueden llevar a los usuarios, especialmente a los más jóvenes, a activarla sin medir las consecuencias.
Al activarse, Friend Map recopila ubicación activada por la aplicación, que se almacena la última localización al abrir o volver a ingresar a Instagram, y ubicación basada en contenido: cada Reel, historia o publicación etiquetada con una localización se vincula directamente al perfil del usuario.
Esto permite trazar con facilidad patrones de movimiento, identificar rutinas y asociar lugares frecuentes al perfil de un usuario. Todos estos datos se almacenan en los servidores de Meta sin cifrado de extremo a extremo, lo que los hace susceptibles a accesos no autorizados y vulnerabilidades en caso de una brecha. También es un blanco atractivo para ciberdelincuentes: una filtración no solo comprometería nombres de usuario y contraseñas, sino mapas detallados de millones de personas.
Además, al estar integrada con todo el ecosistema publicitario de Meta, esta información puede cruzarse con historiales de navegación, compras y demografía para segmentaciones ultradetalladas. Si bien esto potencia la personalización de anuncios, también abre la puerta a usos maliciosos mucho más preocupantes.
Compartir ubicación representa una amenaza doble. Por un lado, el riesgo físico: un atacante puede detectar patrones de rutina, identificar lugares recurrentes y planear encuentros no deseados. Por otro lado, el riesgo digital: Meta puede usar la información de localización para crear perfiles de usuario extremadamente precisos. Esto puede aprovecharse no solo con fines comerciales, sino también para difundir desinformación o lanzar ataques de ingeniería social adaptados al historial y contexto de cada usuario.
El peligro no es hipotético. A los pocos días del lanzamiento de la función, ya circulaban en foros clandestinos técnicas para extraer y explotar datos de ubicación a gran escala. Algunas conversaciones se centraban en cómo revertir el funcionamiento de la API, recolectar coordenadas y cruzarlas con fuentes abiertas con el fin de identificar personas concretas. Estas prácticas recuerdan a incidentes anteriores, como los casos de acoso a través de Snap Map o las filtraciones de datos que han afectado a otras plataformas del ecosistema Meta.
A diferencia de herramientas como Apple Find My, que utiliza cifrado de extremo a extremo y se limita a funciones de seguridad y recuperación de dispositivos, el mapa de Instagram forma parte de una red publicitaria más amplia. Esto implica un incentivo comercial directo para recolectar y conservar datos, así como una exposición mayor frente a posibles brechas de seguridad.
¿Qué pueden hacer los usuarios para protegerse?
El primer paso es revisar la configuración de privacidad y desactivar la opción de compartir ubicación desde el menú del mapa. También se recomienda limitar los permisos de acceso a la localización en el dispositivo, auditar regularmente la lista de seguidores y eliminar a quienes no se conozca personalmente. En el caso de menores, es fundamental que padres y tutores utilicen las herramientas de supervisión disponibles en el Family Center de Instagram para restringir la visibilidad y reforzar el control. Además, si se decide compartir la ubicación de forma puntual, es importante desactivarla inmediatamente después para evitar generar un historial de largo plazo.
Instagram seguirá evolucionando e incorporando nuevas funciones sociales. Pero en un contexto donde la privacidad es cada vez más difícil de mantener, los usuarios deben adoptar una postura activa y crítica frente a este tipo de herramientas. La diversión no puede ir por delante de la seguridad: el mapa de amigos no debería convertirse en un mapa de amenazas.
Rafael López, ingeniero de seguridad especializado en protección de correo electrónico en Check Point Software
