La plataforma de anime Crunchyroll, propiedad de Sony, se enfrenta a acusaciones de una grave filtración de datos después de que un actor de amenazas afirmara haber extraído unos 100 GB de información personal de usuarios. Según diversas publicaciones especializadas en ciberseguridad, el ataque se habría producido el 12 de marzo de 2026 a través de un proveedor externo de soporte ubicado en India, vinculado al operador Telus.
Los reportes señalan que un empleado de ese socio habría ejecutado malware recibido por correo de phishing, lo que permitió a los atacantes entrar en el entorno interno de Crunchyroll. Desde allí, el grupo habría conseguido moverse lateralmente hasta los sistemas de ticketing y los repositorios de analítica de clientes, desde donde se habría exfiltrado el volumen de datos.
Muestras analizadas por investigadores independientes apuntan a que entre la información robada figuran direcciones IP, nombres completos, correos electrónicos y datos de tarjetas de crédito asociados a suscripciones activas, así como tablas con analítica de usuarios de varios países. Estos elementos aumentan el riesgo de fraude financiero, robo de identidad y campañas de phishing altamente dirigidas contra los suscriptores afectados.
Las fuentes coinciden en que la ventana de compromiso habría durado unas 24 horas antes de que Crunchyroll cortara el acceso del proveedor comprometido, pero subrayan que ese lapso fue suficiente para extraer un volumen considerable de información. Hasta el momento, la compañía no ha hecho un anuncio público detallando el incidente, lo que ha generado críticas de la comunidad y coincide con demandas colectivas previas en Estados Unidos por presunto manejo inadecuado de datos personales.
Expertos recomiendan a los usuarios de Crunchyroll cambiar sus contraseñas, activar la autenticación en dos pasos cuando esté disponible y vigilar atentamente los estados de cuenta bancarios en busca de cargos sospechosos. También sugieren desconfiar de correos y mensajes que aparenten provenir de Crunchyroll y pidan datos sensibles, ya que podrían aprovechar la información filtrada para construir ataques de ingeniería social más creíbles.