Crunchyroll, una de las plataformas de streaming de anime más grandes y reconocidas a nivel global, ha sido objeto de un significativo ciberataque. La brecha de seguridad resultó en la exposición de más de 100 GB de datos confidenciales de sus usuarios, según informes, a través de una subcontrata externa ubicada en India.
El incidente se originó en el eslabón más vulnerable de la cadena de seguridad: un ataque de phishing dirigido a un empleado de Telus Digital, una de las empresas subcontratadas por Crunchyroll en India. Tras el phishing exitoso, se produjo una infección de malware en la estación de trabajo del empleado, lo que permitió a los atacantes obtener credenciales de Okta. Con estas credenciales, los intrusos consiguieron acceso directo al entorno interno de Crunchyroll.
La filtración incluyó una vasta cantidad de información, como direcciones de correo electrónico, direcciones IP de los usuarios, análisis de comportamiento de clientes y, potencialmente, datos parciales de tarjetas de crédito. Aunque no se ha confirmado el acceso directo a la base de datos principal de tarjetas cifradas, se sospecha que registros de gestión de incidencias podrían contener capturas de pantalla o fragmentos de recibos con esta información sensible.
Esta exposición masiva de datos afecta a un número considerable de usuarios. Entre la información comprometida se encuentran nombres completos, direcciones de correo electrónico (que podrían ser utilizadas para futuras campañas de phishing más elaboradas), direcciones IP e historial de cuentas, incluyendo detalles sobre niveles y antigüedad de suscripción.
¿Cómo puedes protegerte ante esta filtración de Crunchyroll?
Frente a este tipo de incidentes, se recomiendan las siguientes medidas esenciales:
- Cambia tu contraseña de Crunchyroll de inmediato. Elige una contraseña fuerte y única que no utilices en ningún otro servicio.
- Activa la autenticación de dos factores (2FA). Esta capa de seguridad adicional es crucial para proteger tu cuenta incluso si tu contraseña se ve comprometida.
- Revisa los dispositivos con acceso a tu cuenta. Asegúrate de que solo los dispositivos autorizados puedan acceder.
- Mantente alerta ante correos electrónicos sospechosos. Dada la filtración de direcciones de correo, es posible que recibas intentos de phishing que parezcan legítimos. No hagas clic en enlaces ni descargues archivos de correos no verificados.
- Monitorea tus extractos bancarios. Revisa cualquier actividad inusual en tus cuentas bancarias o tarjetas de crédito durante los próximos días o semanas.