Si tu Instagram genera leads, confianza o ventas, no es “una red social”. Es un activo. Y, aun así, muchas pymes lo gestionan como si fuera una cuenta personal: contraseñas compartidas, un solo móvil con acceso y un email de recuperación que nadie revisa.

Esta semana se ha comentado que se ha podido engañar a un asistente de IA para restablecer contraseñas y comprometer cuentas de Instagram (según el item RSS). No voy a especular sobre detalles técnicos. Lo que sí puedo hacer es aterrizarlo a lo que realmente te protege: control de accesos y un plan de recuperación.

Paso 1 (10–15 min): identifica quién “posee” la cuenta. Revisa qué email está asociado, qué número de teléfono y quién tiene acceso al buzón y a la SIM. Si el email es de una persona (o de una agencia), estás en riesgo. Mi criterio: la propiedad debe estar en un email corporativo controlado (y con 2FA), no en un empleado.

Paso 2 (10–15 min): inventario de administradores y sesiones. Lista quién entra a Instagram (y desde dónde). Si usáis Business Manager/Centro de cuentas, revisa roles: admin, editor, anunciante. El objetivo es simple: mínimos privilegios (cada uno con lo justo). Trade-off: es más cómodo compartir, pero es una bomba de relojería cuando alguien se va o cuando hay un incidente.

Paso 3 (10–15 min): activa 2FA (doble verificación) bien. No me vale “ya lo activé una vez”. Asegúrate de que el segundo factor (el código) no dependa de un único móvil. Si tienes opción, guarda códigos de recuperación en un sitio seguro del equipo (un gestor de contraseñas corporativo, por ejemplo). Si solo una persona tiene esos códigos, el día que no esté, estás vendido.

Paso 4 (10–15 min): limpia accesos compartidos y contraseñas. Cambia la contraseña si ha pasado por muchos manos o si ha estado en un documento/WhatsApp. Si trabajas con agencia, usa accesos por rol, no compartiendo usuario y contraseña. Señal típica de problema: “la contraseña la sabe todo el mundo porque si no, no publicamos”. Eso es exactamente lo que hay que evitar.

Paso 5 (10–20 min): prepara un mini plan de recuperación. En un documento de una página, deja: email y teléfono asociados, quién es el responsable interno, dónde están los códigos de recuperación, y qué pasos seguir si detectáis secuestro (cambiar contraseña, cerrar sesiones, revisar email asociado, revisar métodos de pago si hay ads). No es paranoia: es ahorrar horas de caos cuando pase algo.

Errores comunes (y cómo detectarlos): 1) Email de recuperación que nadie mira. Se detecta porque no hay avisos internos y los correos de seguridad se pierden. 2) 2FA atado a un solo móvil. Se detecta cuando “solo puede entrar X” o cuando cambias de teléfono y se lía. 3) Accesos de ex empleados o agencias. Se detecta revisando roles/sesiones: suele haber “fantasmas” con permisos altos.

Cómo medir resultado: lo mediría con (1) número de admins reales (objetivo: pocos), (2) tiempo estimado de recuperación si hoy perdéis el móvil (debería ser < 1 hora), y (3) número de alertas de seguridad que llegan a un buzón monitorizado por el equipo.

Cuándo compensa delegar: si Instagram es canal principal de captación o tenéis inversión importante en ads, compensa que alguien os revise toda la cadena (email corporativo, dominio, accesos, gestor de contraseñas, roles en Business Manager) y os deje un procedimiento cerrado. En cuentas con alto impacto, el coste de una pérdida de acceso supera de lejos el coste de hacerlo bien.