El servicio de Streaming Crunchyroll confirmó que se encuentra investigando un posible incidente de seguridad. Su revelación aparece luego de que un actor malicioso afirmara recientemente haber accedido a información correspondiente a aproximadamente 6,8 millones de usuarios.
De acuerdo con lo reportado por BleepingComputer este lunes, el supuesto ataque habría ocurrido el pasado 12 de marzo, cuando el atacante logró comprometer la cuenta de un agente de soporte mediante un sistema de autenticación centralizada. Este acceso habría sido obtenido tras infectar el equipo del trabajador con malware y capturar sus credenciales.
«Estamos al tanto de las recientes acusaciones y actualmente estamos trabajando en estrecha colaboración con destacados expertos en ciberseguridad para investigar el asunto«, declaró inicialmente Crunchyroll a BleepingComputer. Para más adelante comunicar: “Nuestra investigación continúa y seguimos colaborando con destacados expertos en ciberseguridad. Por el momento, creemos que la información se limita principalmente a datos de tickets de atención al cliente tras un incidente con un proveedor externo«.
Acceso a sistemas internos y herramientas de soporte
El agente afectado estaría vinculado a Telus International, una empresa de externalización de procesos (BPO), lo que habría permitido al atacante acceder a múltiples herramientas utilizadas por Crunchyroll. Entre ellas se mencionan plataformas de gestión de tickets, comunicación interna y análisis de datos.
En particular, el acceso a sistemas de soporte habría facilitado la descarga de millones de registros, incluyendo tickets de atención al cliente almacenados en servicios como Zendesk. Según la información disponible, los datos comprometidos incluirían nombres, correos electrónicos, direcciones IP, ubicaciones aproximadas y el contenido de interacciones de soporte.
En algunos casos, también podrían existir datos financieros compartidos por usuarios dentro de los propios tickets, aunque no corresponderían a una filtración estructurada de sistemas de pago. Desde Crunchyroll indicaron que, hasta el momento, creen que el incidente se limita principalmente a información de soporte al cliente y que no han detectado evidencia de acceso persistente a sus sistemas.
“No hemos encontrado indicios de acceso continuado a los sistemas en relación con estas reclamaciones. Seguimos vigilando la situación de cerca”, comentó Crunchyroll a BleepingComputer.
Extorsión y patrón creciente en la industria
El actor responsable habría intentado extorsionar a la empresa solicitando un pago de $5 millones de USD a cambio de no divulgar la información obtenida. Sin embargo, no se ha confirmado una respuesta por parte de Crunchyroll frente a esta demanda. El acceso no autorizado habría sido revocado en un periodo cercano a las 24 horas, aunque habría sido suficiente para extraer datos acumulados hasta mediados de 2025.
El caso se enmarca dentro de una tendencia creciente de ataques dirigidos a proveedores de servicios externos. Empresas de outsourcing como Telus International se han convertido en objetivos estratégicos debido al acceso que poseen a sistemas críticos y datos de múltiples organizaciones.
Incidentes similares han afectado a plataformas como Discord. En septiembre de 2025, una brecha en herramientas de soporte permitió la exposición de millones de registros. Para ese ataque, se comprometieron nombres, nombres de usuario, correos electrónicos, otros datos de contacto de usuarios.
