Abril 27, 2026
Personaje de estilo anime con cabello naranja y orejas de zorro, en un fondo oscuro y vibrante, junto al logotipo de Crunchyroll.
Noticias

Crunchyroll investiga brecha que expuso datos de 6.8M usuarios

XanxoGaming

Crunchyroll, la popular plataforma de streaming de anime, confirmó que está investigando un presunto robo de datos luego de que un actor malicioso afirmara haber accedido a información personal de aproximadamente 6.8 millones de usuarios.

La compañía emitió un comunicado señalando que trabaja junto a expertos en ciberseguridad para evaluar el alcance del incidente. En una declaración posterior, precisó que la información comprometida estaría limitada principalmente a datos de tickets de soporte al cliente, tras un incidente con un proveedor externo, y que no se identificaron evidencias de acceso continuo a sus sistemas.

Cómo ocurrió el ataque

Según el propio atacante, el acceso se logró el 12 de marzo comprometiendo la cuenta Okta SSO de un agente de soporte de Telus International, una empresa de outsourcing de procesos empresariales (BPO) que opera el soporte de Crunchyroll. El método habría sido malware instalado en el equipo del agente para capturar sus credenciales.

Con ese acceso, el hacker habría podido ingresar a herramientas como Zendesk, Slack, Google Workspace Mail, Mixpanel y otras plataformas internas. Desde el sistema Zendesk de Crunchyroll descargó supuestamente 8 millones de registros de tickets, de los cuales 6.8 millones contienen direcciones de correo únicas.

Los tickets incluirían nombre, usuario, correo, dirección IP, ubicación general y el contenido de las conversaciones de soporte. Respecto a datos bancarios, BleepingComputer —que tuvo acceso a muestras antes de que fueran eliminadas— precisó que información de tarjetas de crédito aparece solo cuando el propio usuario la incluyó en el ticket, siendo en la mayoría de casos únicamente los últimos cuatro dígitos o la fecha de vencimiento. Solo un número reducido de tickets contenía números completos de tarjeta.

El atacante habría tenido acceso por aproximadamente 24 horas antes de que fuera revocado, permitiéndole extraer datos acumulados hasta mediados de 2025. Posteriormente, habría enviado un correo de extorsión a Crunchyroll exigiendo 5 millones de dólares sin obtener respuesta.

Los BPO: un blanco cada vez más frecuente

Este incidente se enmarca en una tendencia creciente: las empresas de outsourcing se han convertido en objetivos prioritarios para grupos de ciberdelincuentes, dado que un solo empleado comprometido puede abrir las puertas a los datos de múltiples compañías cliente. En el último año se han registrado casos similares mediante soborno de empleados internos, ingeniería social y malware. Casos recientes que siguieron este patrón incluyeron brechas en Clorox, Marks & Spencer y Co-op, este último con robo de datos tras un ataque de ransomware. El caso de Discord en octubre también respondió a este modelo: datos de 5.5 millones de usuarios expuestos tras el compromiso de su instancia de Zendesk.

Vale aclarar que, según BleepingComputer, este ataque no está relacionado con la brecha masiva que sufrió Telus Digital por parte del grupo ShinyHunters.

Si eres usuario de Crunchyroll, es recomendable estar atento a comunicaciones oficiales de la plataforma y considerar cambiar tu contraseña como medida de precaución.

Fuente: BleepingComputer

You May Also Like

Radeon RX 6400

Filtración confirma que tarjetas de video AIBs Radeon RX 6400 están cerca

XanxoGaming
Tarjeta gráfica ASUS TUF Gaming Radeon RX 9070 XT, con ventiladores visibles, sobre un fondo oscuro y vibrante, alusivo a Call of Duty: Black Ops 7.

La potencia de TUF se une al estilo Black Ops en la TUF Gaming Radeon™ RX 9070 XT Call of Duty: Black Ops 7 Special Edition

XanxoGaming
ASRock CES 2025

ASRock presenta motherboards, monitores Phantom Gaming, Mini PCs y fuentes de alimentación en CES 2025

XanxoGaming