Crunchyroll investiga presunto robo de datos de 6,8 millones de usuarios tras acceso a Zendesk

𝕏

Hace 17 minutos

Por Canuto

Crunchyroll confirmó que investiga una presunta brecha de seguridad luego de que un actor de amenazas asegurara haber robado datos de unos 6,8 millones de usuarios. El caso apunta a la cuenta SSO de un agente de soporte tercerizado y vuelve a poner el foco sobre los riesgos que enfrentan las empresas cuando delegan atención al cliente y acceso a sistemas internos en proveedores BPO.
***

Crunchyroll dijo que trabaja con expertos en ciberseguridad tras las afirmaciones sobre una intrusión.
El atacante asegura haber descargado 8 millones de registros de tickets de soporte con 6,8 millones de correos únicos.
El incidente refuerza la preocupación por los BPO como puerta de entrada para robo de datos y extorsión.

Crunchyroll está investigando una presunta brecha de seguridad luego de que un actor de amenazas afirmara haber robado información personal vinculada a cerca de 6,8 millones de personas. La plataforma de streaming de anime señaló que ya trabaja con especialistas en ciberseguridad para esclarecer lo ocurrido y determinar el alcance real del incidente.

La alerta surgió después de que un hacker contactara al medio BleepingComputer y asegurara que vulneró los sistemas de Crunchyroll el 12 de marzo a las 9 PM EST. Según esa versión, el punto de entrada habría sido la cuenta Okta SSO de un agente de soporte que prestaba servicios para la empresa.

De acuerdo con el relato del atacante, el agente comprometido no sería un empleado directo de Crunchyroll, sino un trabajador de Telus International, una empresa de externalización de procesos de negocio o BPO. Ese detalle es relevante porque el personal tercerizado suele manejar herramientas de soporte, autenticación y atención a clientes con acceso a información sensible.

Crunchyroll declaró que está al tanto de las afirmaciones recientes y que actualmente trabaja en estrecha colaboración con expertos líderes en ciberseguridad para investigar el asunto. Por ahora, la compañía no ha confirmado cuántos usuarios podrían haber sido afectados ni qué datos fueron realmente expuestos.

Qué datos habrían sido robados

Según indica un reporte de BleepingComputer, las credenciales supuestamente obtenidas permitían acceso a varias aplicaciones internas de Crunchyroll. Entre ellas figuraban Zendesk, Wizer, MaestroQA, Mixpanel, Google Workspace Mail, Jiro Service Management y Slack.

Con ese acceso, el actor de amenazas aseguró haber descargado 8 millones de registros de tickets de soporte desde la instancia de Zendesk de Crunchyroll. De ese total, dijo que existirían 6,8 millones de direcciones de correo electrónico únicas, una cifra que explica por qué el incidente ha despertado tanta atención.

Las muestras de tickets revisadas por la publicación y luego eliminadas incluían distintos tipos de información. Allí aparecían el nombre del usuario de Crunchyroll, el nombre de inicio de sesión, la dirección de correo electrónico, la dirección IP, una ubicación geográfica general y el contenido mismo de los tickets de soporte.

Esto no implica necesariamente que toda la base de usuarios de la plataforma haya quedado expuesta de forma uniforme. Lo que se habría comprometido, según esa versión, sería la información contenida en los registros de soporte, un tipo de repositorio que suele mezclar datos de identidad, contexto técnico y conversaciones con los clientes.

También circularon versiones que hablaban de exposición de datos de tarjetas de crédito. Sin embargo, BleepingComputer indicó que pudo confirmar que la información de tarjetas solo habría quedado visible en los casos en que los propios usuarios la compartieron dentro de un ticket de soporte.

En la mayoría de esos casos, el material solo mostraba datos parciales, como los últimos cuatro dígitos o fechas de vencimiento. El propio actor de amenazas afirmó que solo unos pocos registros contenían números completos de tarjeta, por lo que no hay evidencia en el reporte de una filtración masiva y estructurada de información financiera.

La supuesta vía de acceso y la extorsión

El atacante dijo que utilizó malware para infectar el equipo del agente de soporte y así obtener acceso a sus credenciales. Esa versión encaja con un patrón cada vez más frecuente en incidentes corporativos, donde los atacantes prefieren comprometer usuarios con privilegios operativos antes que romper directamente la infraestructura principal de una empresa.

Los tickets de soporte vistos por el medio hacían referencia a Telus, un detalle que respaldaría la afirmación de que la cuenta comprometida pertenecía a un empleado de un proveedor BPO. Esa conexión no prueba por sí sola toda la narración del atacante, pero sí refuerza la hipótesis de un acceso inicial a través de terceros.

El hacker sostuvo que su acceso fue revocado después de 24 horas. Aun así, aseguró que ese lapso le bastó para robar datos que se extendían hasta mediados de 2025, lo que sugiere que el sistema al que accedió contenía históricos amplios de interacciones con usuarios.

Además, afirmó haber enviado correos electrónicos de extorsión a Crunchyroll para exigir USD $5.000.000 a cambio de no filtrar públicamente la información. Según su testimonio, la empresa no respondió a esa demanda.

Hasta el momento, Crunchyroll no ha confirmado públicamente la existencia de una negociación o intento de pago. Tampoco ha validado la cifra reclamada por el atacante ni el volumen específico de datos comprometidos, por lo que parte de la historia sigue basada en alegatos del propio actor de amenazas.

El reporte también aclara un punto importante en el contexto reciente de Telus. Aunque este ataque habría involucrado a un empleado relacionado con esa red de soporte, no estaría vinculado con la brecha masiva atribuida a Telus Digital por la banda de extorsión ShinyHunters.

Por qué los BPO se han vuelto un objetivo crítico

Las empresas BPO se han convertido en objetivos de alto valor para ciberdelincuentes porque suelen centralizar procesos de atención al cliente, facturación y acceso a sistemas internos de múltiples compañías. En la práctica, comprometer a un solo empleado de estas firmas puede abrir la puerta a datos corporativos y de usuarios de varias marcas a la vez.

Ese modelo de operación ofrece eficiencia a las empresas, pero también amplía la superficie de ataque. Si los controles de acceso, la segmentación de sistemas o la supervisión sobre terceros fallan, el atacante puede moverse desde una cuenta aparentemente secundaria hacia plataformas que contienen información muy sensible.

Durante el último año, distintos actores de amenazas han explotado este tipo de estructuras mediante sobornos a personal interno con acceso legítimo, campañas de ingeniería social dirigidas a mesas de ayuda y compromiso directo de cuentas de empleados de proveedores. El problema ya no es teórico, sino una tendencia observada en casos recientes.

Uno de los ejemplos más notorios fue el incidente de Clorox. En ese caso, atacantes se hicieron pasar por un empleado y convencieron a un agente de soporte de la mesa de ayuda de Cognizant para que les concediera acceso a la cuenta de un trabajador de la empresa, lo que derivó en una intrusión sobre la red corporativa.

Grandes minoristas también han reconocido que ataques de ingeniería social contra personal de soporte facilitaron incidentes mayores. Marks & Spencer confirmó que atacantes usaron esa táctica para vulnerar sus redes, mientras Co-op reveló robo de datos después de un ataque de ransomware que abusó de accesos relacionados con soporte.

La gravedad del fenómeno llevó incluso al gobierno del Reino Unido a emitir directrices sobre ataques de ingeniería social dirigidos a mesas de ayuda y proveedores BPO. El mensaje para el mercado es claro: la seguridad ya no depende solo del perímetro tecnológico de una empresa, sino también de la disciplina operativa de sus socios externos.

En algunos casos, los atacantes ni siquiera necesitan manipular a personal de soporte para lograr su objetivo. A veces apuntan directamente a las cuentas de empleados de BPO para saltar hacia las compañías que esos trabajadores atienden, como ocurrió en octubre cuando Discord reveló una brecha de datos que habría expuesto información de 5,5 millones de usuarios únicos tras el compromiso de su sistema Zendesk.

Un incidente que deja preguntas abiertas

El caso de Crunchyroll sigue en etapa de investigación y todavía no hay una confirmación independiente de todas las afirmaciones hechas por el atacante. Sin embargo, el episodio ilustra un problema más amplio para la economía digital: los sistemas de soporte y atención al cliente pueden almacenar cantidades enormes de datos útiles para extorsión, fraude o campañas posteriores de phishing.

Para los usuarios, este tipo de incidentes suele traducirse en un mayor riesgo de correos maliciosos, intentos de suplantación de identidad y exposición de información compartida durante reclamos o consultas de soporte. Para las empresas, en cambio, el desafío es reforzar controles sobre accesos tercerizados, autenticación, monitoreo y mínimos privilegios.

Si se confirma la escala sugerida por el actor de amenazas, la investigación de Crunchyroll podría convertirse en otro caso emblemático sobre el costo de delegar funciones sensibles sin barreras de seguridad suficientes. También podría impulsar nuevas revisiones sobre cómo plataformas globales gestionan Zendesk, SSO y cuentas de terceros en sus operaciones cotidianas.

Por ahora, la empresa mantiene una postura prudente mientras revisa lo ocurrido con apoyo de expertos externos. La dimensión final del incidente, los datos efectivamente expuestos y cualquier impacto adicional sobre usuarios seguirán dependiendo de lo que arroje esa investigación.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

𝕏

USDT	Tether USDt	-0,0%	$106,48 mmd
BTC	Bitcoin	3,94%	$52,12 mmd
ETH	Ethereum	5,03%	$28,94 mmd
USDC	USDC	0,0%	$14,56 mmd
SOL	Solana	6,16%	$5,44 mmd
XRP	XRP	3,84%	$3,42 mmd
BNB	BNB	2,08%	$2,39 mmd
XAUt	Tether Gold	-2,47%	$2,26 mmd
DOGE	Dogecoin	5,51%	$1,61 mmd
PAXG	PAX Gold	-2,2%	$1,55 mmd

APT	Aptos	15,48%	$1,06
NIGHT	Midnight	13,12%	$0,047 67
ZRO	LayerZero	12,67%	$2,15
FET	Artificial Superintelligence Alliance	9,94%	$0,226 347
FIL	Filecoin	9,56%	$0,930 274
TAO	Bittensor	8,81%	$286,45
SHIB	Shiba Inu	8,61%	$0,000 006
ETC	Ethereum Classic	8,04%	$8,65
XLM	Stellar	7,38%	$0,166 999
WLD	Worldcoin	6,97%	$0,325 215

RIVER	River	-16,6%	$24,17
KAS	Kaspa	-4,33%	$0,035 022
TRX	TRON	-2,87%	$0,304 703
XMR	Monero	-2,77%	$351,24
XAUt	Tether Gold	-2,47%	$4.379,84
PAXG	PAX Gold	-2,2%	$4.398,58
ETHFI	ether.fi	-1,76%	$0,532 025
ENA	Ethena	-1,49%	$0,093 621
BGB	Bitget Token	-0,9%	$2,01
MNT	Mantle	-0,59%	$0,706 15

Crunchyroll investiga presunto robo de datos de 6,8 millones de usuarios tras acceso a Zendesk

Qué datos habrían sido robados

La supuesta vía de acceso y la extorsión

Por qué los BPO se han vuelto un objetivo crítico

Un incidente que deja preguntas abiertas

Suscríbete a nuestro boletín

Artículos Relacionados

Bernie Sanders falla con video sobre IA, pero desata memes y dudas sobre Claude

Filtran en GitHub kit DarkSword, capaz de hackear millones de iPhones desactualizados

SEC envía a la Casa Blanca su nueva propuesta de definición cripto para revisión

Proyecto bipartidista en EEUU apunta contra apuestas deportivas en Kalshi y Polymarket