Crunchyroll: Brecha que expuso 6,8M de usuarios

Crunchyroll está investigando una brecha de seguridad confirmada que expuso datos personales de 6,8 millones de usuarios. Un hacker comprometió a Telus International, el proveedor externo de soporte técnico de la plataforma, infectando una máquina con malware para robar credenciales de Okta SSO. Con eso tuvo acceso a Zendesk, Slack, Google Workspace y otras aplicaciones internas. Se extrajeron 8 millones de tickets de soporte con emails, nombres, IPs y contenido completo de conversaciones. El atacante exigió 5 millones de dólares sin obtener respuesta.

Qué ocurrió: el ataque del 12 de marzo

Un threat actor contactó a BleepingComputer el jueves pasado para anunciar que había comprometido los sistemas de Crunchyroll el 12 de marzo a las 21:00 EST. La empresa confirmó la investigación, aunque pasó días sin hablar públicamente.

Crunchyroll es propiedad de Sony desde 2020 (Sony la compró a AT&T por 1.180 millones de dólares). Es un joint venture entre Sony Pictures Entertainment (Estados Unidos) y Aniplex (Japón), con más de 2.000 títulos en 12 idiomas y 15 millones de suscriptores en todo el mundo.

Cómo funcionó el ataque: malware, Okta y acceso en cascada

El vector fue un proveedor externo. Ponele que un empleado de Telus International, la empresa que maneja el soporte técnico de Crunchyroll, se conectó normalmente a su PC un día cualquiera. Pero en algún momento recibió malware que infectó su máquina.

Desde ahí, los atacantes robaron sus credenciales de Okta SSO (el proveedor de single sign-on que usa Crunchyroll). Con esas credenciales en mano, ganaron acceso a Zendesk (donde están los tickets de soporte), Slack (comunicación interna), Google Workspace (email corporativo), Wizer y Maestro (que parecen ser herramientas internas de Crunchyroll).

Es el tipo de ataque que explota la cadena de confianza: un tercero tiene acceso privilegiado, lo comprometen, y de repente el atacante está dentro del perímetro. Lo explicamos a fondo en cómo diferentes plataformas protegen datos.

El eslabón débil: por qué los proveedores externos son un riesgo

Telus International es una BPO (empresa de outsourcing de procesos de negocios) gigante que maneja soporte al cliente para decenas de empresas. Es eficiente, es barato, pero tiene un costo en seguridad.

Un empleado de Telus tiene acceso a Zendesk, a las conversaciones internas, potencialmente a datos sensibles del usuario. Si ese empleado está mal protegido (máquina sin parches, sin MFA, sin endpoint detection), es una puerta abierta.

Ojo con esto: la mayoría de las empresas tech tercerizan el soporte. No es algo exclusivo de Crunchyroll. Si el tuyo también delega en una BPO, preguntate qué tan bien protegidas están esas máquinas.

Qué datos fueron expuestos

Se extrajeron 8 millones de tickets de soporte técnico. Eso no es solo un número. Los tickets de soporte contienen:

• Emails y nombres completos de usuarios.
• Direcciones IP desde donde se conectan.
• Conversaciones completas con agentes de soporte (quién preguntó qué, cuándo, las respuestas).
• Potencialmente información de suscripción, problemas reportados, ubicación aproximada.

El acceso estuvo activo desde el 12 de marzo hasta principios de 2025, cuando fue revocado. Meses de datos fluyendo sin que nadie lo notara (spoiler: la mayoría de las brechas se descubren cuando alguien ajeno avisa, no cuando el propio equipo se da cuenta). En mejores prácticas para asegurar información profundizamos sobre esto.

6,8 millones de usuarios únicos fueron afectados según el hacker. No todos los usuarios de Crunchyroll (que son 15 millones globalmente), pero una proporción significativa que interactuó con soporte en ese período.

La extorsión de 5 millones sin respuesta

El atacante exigió 5 millones de dólares a Crunchyroll y publicó screenshots de acceso para probarlo. Los screenshots parecen mostrar Slack interno y datos de Zendesk. Crunchyroll no respondió a la demanda. Punto.

No confirmó ni desmintió el monto. No negoció públicamente. Simplemente callada con los expertos en ciberseguridad mirando qué pasó.

Lo que Crunchyroll confirmó y lo que sigue sin confirmar

Confirmado: Crunchyroll dice que los datos comprometidos son “principalmente limitados a datos de tickets de servicio al cliente” tras el incidente con un proveedor tercero. No encontró evidencia de acceso continuo a sus sistemas. Están monitoreando la situación. Trabajan con expertos en seguridad.

No confirmado: El monto exacto de la extorsión. Si hay más datos expuestos además de tickets. Si hay acceso residual. Si el atacante vendió los datos a otro grupo. Si Crunchyroll pagó o llegó a un acuerdo privado.

Qué pueden hacer los 6,8 millones de usuarios afectados

Si tenés una cuenta en Crunchyroll, esto te toca. No por la contraseña (si tienes contraseña fuerte, está más o menos segura), sino por lo que dijiste en soporte. Te puede servir nuestra cobertura de comparativa de seguridad entre plataformas.

• Cambiar contraseña. Usa una única para Crunchyroll, no la reutilices en otros sitios. Si ya la reutilizaste, cambiala en todos lados.
• Activar autenticación de dos factores (2FA). En las opciones de seguridad de tu cuenta.
• Desconfiar de emails de phishing dirigidos. Un atacante que tiene tu nombre, email y el contenido de tu ticket (“te ayudé con problema de pago hace 3 meses”) puede armar un email convincente. Crunchyroll nunca te va a pedir contraseña por email. Si ves algo raro, verifica directamente en crunchyroll.com.
• Monitorear cuentas vinculadas. Si tu cuenta de Crunchyroll está conectada a Google, Apple, Facebook u otros SSOs, fijate que nadie más tenga acceso.

Errores comunes en la respuesta a brechas

No notificar hasta que no hay más remedio

Crunchyroll tardó días en comentar algo. Recién después de que el hacker contactara a medios. Eso deja a 6,8 millones sin información para protegerse.

Subestimar el riesgo de proveedores terceros

Es fácil pensar que Telus está encima del tema. Pero BPOs globales, con miles de empleados, con máquinas conectadas a redes de clientes. Alguien tiene que verificar que estén cumpliendo controles mínimos. Más sobre esto en impacto de actualizaciones de seguridad.

No rotar credenciales inmediatamente

Si un proveedor fue comprometido, toda credencial que usaba en tu ecosistema debería estar nueva o revocada. Okta, Zendesk, Slack. Cambio inmediato, no al día siguiente. Lo complementamos en herramientas para evitar brechas de datos.

Esto es lo que pasó cuando Crunchyroll investiga brecha que expuso datos de 6,8 millone por credenciales en el CI/CD.

Viene al caso este artículo sobre Crunchyroll investiga brecha que expuso datos de 6,8 millone, donde vimos el mismo patrón de ataque.

Esto se conecta directamente con Crunchyroll investiga brecha que expuso datos de 6,8 millone, donde cubrimos el impacto real de estas fallas.

Preguntas Frecuentes

¿Mi contraseña de Crunchyroll fue robada?

Probablemente no. El atacante accedió a Zendesk y Slack, no a la base de datos de contraseñas de Crunchyroll. Lo que sí tiene es el historial de lo que hablaste con soporte.

¿Qué debo hacer si actualmente uso Crunchyroll?

Cambiar contraseña, activar 2FA, y estar atento a emails sospechosos que usen datos de tu cuenta. Si no usaste Crunchyroll en los últimos meses, el riesgo es menor, pero aún vale protegerse. Tema relacionado: vulnerabilidades que exponen datos masivamente.

¿Crunchyroll notificó a todos los usuarios?

Hasta la fecha de este artículo, la notificación oficial es limitada. Algunos usuarios pueden haber recibido un email, otros no. Revisá tu bandeja de spam y confirmá directamente en tu cuenta de Crunchyroll.

¿Qué empresa usas para soporte técnico de tu sitio web?

Si tercerizan soporte, pregunten qué controles de seguridad tienen en lugar. MFA para acceso a sistemas críticos, endpoint detection, revisiones periódicas. No es paranoia, es diligencia.

Conclusión

La brecha de Crunchyroll es un recordatorio de que la seguridad no termina en tu perímetro. Un proveedor externo sin protecciones suficientes puede abrir la puerta más ancha que cualquier ataque directo.

Para 6,8 millones de usuarios, el riesgo inmediato es phishing y robo de identidad usando datos del ticket de soporte. Para empresas que delegan soporte, es una oportunidad para revisar qué tan bien asegurado está ese eslabón de la cadena.

Si tenés cuenta en Crunchyroll, no entraes en pánico, pero tomá precauciones. Contraseña única, 2FA, ojo con emails. Eso alcanza para dormir tranquilo.

Fuentes

• Crunchyroll probes breach after hacker claims to steal 6.8M users’ data – BleepingComputer
• Crunchyroll confirms data breach after hacker claims unauthorized access – TechCrunch
• Crunchyroll hacker anime data theft – The Record