Crunchyroll fue hackeado y tus datos están en riesgo: qué hacer si tienes cuenta en México
ShinyHunters robó 100GB de datos de Crunchyroll a través de phishing a Telus Digital: 6.8 millones de correos expuestos, tickets de soporte y posiblemente datos de pago. Guía para protegerte desde México.
Si tienes cuenta en Crunchyroll, te interesa esto más que cualquier simulcast de la temporada: el 12 de marzo de 2026, hackers robaron más de 100 GB de datos de usuarios de la plataforma, incluyendo correos, nombres, IPs y potencialmente información de tarjetas. Y sí, México y LATAM somos de las bases de usuarios más grandes del servicio, así que las probabilidades de que tu info esté ahí son nada despreciables.
No fue un ataque directo a los servidores de Crunchyroll. Fue más cabrón que eso.
Cómo pasó: el eslabón más débil fue una empresa que probablemente no conocías
Los atacantes, vinculados al grupo ShinyHunters, no rompieron los firewalls de Crunchyroll. En cambio, fueron por el flanco más fácil: Telus Digital, el BPO (empresa de outsourcing) que maneja el soporte técnico de la plataforma desde India.
El ataque fue un phishing clásico: un empleado de Telus recibió un correo malicioso, ejecutó un archivo sin darse cuenta, y le entregó sin querer sus credenciales de Okta, el sistema de inicio de sesión único que usaban internamente. Con eso en mano, los atacantes se movieron libremente por los sistemas conectados a Crunchyroll durante aproximadamente 24 horas antes de ser detectados y cortados.
En ese tiempo accedieron a:
- Zendesk (base de datos de tickets de soporte)
- Google Workspace y correo interno
- Slack
- Mixpanel (analytics de usuarios)
- Jira Service Management
- Otras herramientas de operación interna
Es el tipo de ataque de cadena de suministro que vemos cada vez más seguido: en vez de atacar a la empresa grande, vas por su proveedor más pequeño. Como explicamos al cubrir cómo el grupo ShinyHunters ya había destrozado sistemas de la Comisión Europea una semana antes, estos grupos saben exactamente que el problema no es el castillo sino el puente levadizo.
Qué datos robaron exactamente
Esto es lo que confirmaron múltiples fuentes de seguridad, incluyendo Cybernews y BleepingComputer:
| Tipo de dato | Estado |
|---|---|
| Correos electrónicos | Expuestos (6.8M únicos) |
| Nombres de usuario | Expuestos |
| Direcciones IP y ubicación | Expuestos |
| Historial de tickets de soporte | Expuestos (2M tickets) |
| Datos parciales de tarjetas | Posiblemente comprometidos |
| Contraseñas hasheadas | Sin confirmar |
| Base de datos principal de pagos | No comprometida |
El punto clave sobre las tarjetas: la base de datos de pagos cifrada de Crunchyroll no fue tocada. El riesgo viene de que muchos usuarios, al hacer un ticket de soporte, adjuntan capturas de pantalla o comprobantes donde aparece información bancaria. Esos archivos estaban en Zendesk, y Zendesk fue comprometido.
El actor de amenaza, identificado como “hubert” en foros, puso a la venta la base de datos de Zendesk con los 2 millones de tickets y el millón 394 mil correos únicos vinculados a soporte.
¿Crunchyroll pagó el rescate de $5 millones?
Los atacantes exigieron $5 millones de dólares para no publicar los datos. Crunchyroll ignoró completamente todos sus intentos de contacto.
No hay ninguna evidencia de que la empresa haya pagado. Y a estas alturas, con los datos ya circulando en foros de venta, es bastante claro que no lo hicieron o que el pago nunca fue opción real. El 23 de marzo Crunchyroll emitió un comunicado oficial confirmando la brecha y diciendo que trabajan con “expertos líderes en ciberseguridad” para investigar el caso.
Bonita frase corporativa, la neta.
Qué hacer si tienes cuenta activa en México
Aquí sí no hay que pensarle mucho. Aunque no sepas si tu cuenta específica fue afectada, el protocolo es el mismo:
1. Cambia tu contraseña YA
Entra a crunchyroll.com, ve a configuración y cambia la contraseña. Usa algo único, no reutilices la de tu Netflix o tu correo. Si ya usabas la misma contraseña en otros servicios, cámbiala en todos esos también.
2. Activa la verificación en dos pasos
Crunchyroll tiene 2FA. Está en Configuración de cuenta. Actívala con una app autenticadora (Google Authenticator, Authy) en lugar de SMS si puedes.
3. Revisa tus movimientos bancarios
Especialmente si alguna vez adjuntaste capturas de estado de cuenta o información de tarjeta en un ticket de soporte. Cualquier cargo extraño, repórtalo con tu banco de inmediato.
4. Cuidado con el phishing que viene después
Esto es importante: el siguiente ataque que puede llegar a tu correo es un phishing que se hace pasar por Crunchyroll pidiéndote “verificar tu cuenta”. Ya tienen tu correo. Pueden armarte un mensaje bastante convincente. No des click en links de correos que no esperabas. Entra siempre directo a la URL oficial.
5. Verifica en Have I Been Pwned
Entra a haveibeenpwned.com, escribe el correo que usas en Crunchyroll y revisa. Al momento de publicar este artículo, Crunchyroll no aparece aún en la base de datos de HIBP, pero el sitio se actualiza constantemente conforme se verifican y procesan las brechas. Vale la pena revisarlo en los próximos días y semanas.
También puedes activar las notificaciones gratuitas de HIBP para que te avise si tu correo aparece en futuras brechas, que de hoy en adelante van a ser más, no menos.
El contexto más grande: ShinyHunters no para
Este es el mismo grupo responsable de las filtraciones de Ticketmaster (2024), AT&T, y más recientemente varios ataques contra empresas europeas. Son un grupo organizado y con bastante experiencia robando bases de datos de clientes de empresas que tercerizan su soporte.
El patrón es siempre el mismo: buscan al eslabón más débil en la cadena de proveedores, entran por phishing, se mueven lateralmente, sacan todo lo que pueden y luego intentan vender o extorsionar. Y dado que Crunchyroll terceriza soporte a India con cientos de agentes, la superficie de ataque era enorme.
Esto aplica para pensar en tus otros servicios también. Si usas cualquier plataforma grande (streaming, gaming, delivery), la pregunta no es solo “¿qué tan seguros están ellos?”, sino “¿qué tan seguros están todos sus proveedores?”. Como ya vimos con el tema de Google Personal Intelligence y cuánto acceso tienen las plataformas a tu información, el problema del manejo de datos personales va mucho más allá de un solo hackeo.
¿Vale la pena seguir usando Crunchyroll?
La neta, si eres fan del anime, las alternativas legales en México son limitadas. Crunchyroll sigue siendo la más completa. Pero después de esto, hay que ser más cuidadoso: contraseña única, 2FA activo, y nunca jamás adjuntes información sensible en tickets de soporte de ningún servicio. Eso aplica para todos, no solo Crunchyroll.
Y si en algún punto Crunchyroll te contacta por correo diciéndote que “tu cuenta fue afectada y necesitas verificarla”, entra directo al sitio. No des click en links de correos. Al tiro, nomás ese hábito ya te protege de la mayoría de los ataques que vienen después de una brecha como esta.
¿Ya revisaste tu cuenta? ¿Tenías tickets de soporte con información sensible? Cuéntanos en los comentarios.
Fuentes
- BleepingComputer: Crunchyroll probes breach after hacker claims to steal 6.8M users’ data
- The Record / Recorded Future News: Crunchyroll dice que hacker robó datos de tickets de soporte
- Xataka México: Un hacker presume tener más de 100 GB de datos de Crunchyroll
- El Financiero: ¿Qué sabemos del supuesto hackeo a Crunchyroll?
- Qore: Hackers roban datos de 6.8 millones de usuarios de Crunchyroll
- TechRadar: Crunchyroll investigating breach which reportedly stole data on 6.8 million users
- Have I Been Pwned
Comentarios
No te pierdas ningún post
Recibe lo nuevo de Al Chile Tech directo en tu correo. Sin spam.
También te puede interesar
La falla de ChatGPT que robaba tus archivos con un solo prompt: ya fue parcheada, pero el pedo no terminó
Check Point Research reveló cómo un mensaje malicioso podía convertir cualquier conversación de ChatGPT en un canal silencioso de robo de datos. Esto es lo que pasó y cómo protegerte.
CVE-2026-3055: el fallo crítico de Citrix NetScaler que está vaciando credenciales de empresas desde hace una semana
Falla de memory overread con CVSS 9.3 en Citrix NetScaler ADC y Gateway bajo explotación activa desde el 27 de marzo. Si tu empresa usa NetScaler como SAML IDP y no has parcheado, ya perdiste.
El axios que hackearon no es el periódico: así comprometieron la librería JS con 100 millones de descargas semanales
Un ataque de supply chain comprometió axios@1.14.1 y axios@0.30.4 el 31 de marzo de 2026. Qué hace el RAT, cómo saber si te afectó y qué hacer ahorita mismo.