Se ha presentado una notificación de filtración de datos ante la Fiscalía General de Maine, en la que se indica que los datos de más de 2,4 millones de usuarios de VRChat han sido objeto de una filtración.
La pregunta es: ¿fue VRChat quien presentó la notificación de la filtración, o la publicó alguien que se hacía pasar por un representante de la empresa? En Reddit, un representante de VRChat publicó:
VRChat no ha presentado esta notificación de incidente de datos, y no tenemos motivos para creer que nuestros sistemas se hayan visto comprometidos. Estamos en proceso de ponernos en contacto con la Fiscalía General de Maine para que se retire esta notificación.
El comunicado sobre la filtración indica que VRChat sufrió un acceso no autorizado a algunos datos de cuentas entre el 10 y el 12 de mayo de 2026. Al parecer, el acceso se produjo en el entorno en la nube de VRChat y afectó a datos relacionados con los perfiles de usuario y el inicio de sesión.
Según el comunicado, la información filtrada variaba según la cuenta, pero podría haber incluido:
- Nombre de usuario de VRChat
- Dirección de correo electrónico asociada a la cuenta de VRChat
- Estado de la suscripción a VRChat+
- Historial de inicio de sesión, incluida la información del dispositivo, los identificadores de hardware y las direcciones IP
VRChat es una plataforma social diseñada principalmente para cascos de realidad virtual, que permite a los usuarios interactuar con otros a través de avatares y mundos en 3D creados por los propios usuarios. Los usuarios pueden acceder a VRChat a través de Steam para PC, la tienda de Meta Quest o como Android en dispositivos compatibles.
En el comunicado se indica que no se han filtrado contraseñas ni datos de tarjetas de pago. Sin embargo, aunque no se hayan filtrado contraseñas ni datos de tarjetas, sigue habiendo riesgos potenciales en relación con otros datos que se han visto comprometidos.
Phishing
Los ciberdelincuentes pueden utilizar nombres de usuario y direcciones de correo electrónico en intentos de phishing dirigidos. Por ejemplo, los usuarios pueden recibir correos electrónicos de phishing o mensajes dentro de la plataforma que afirman proceder del «Servicio de asistencia», con alertas de seguridad falsas o mensajes que les piden que «confirmen su edad» a través de un enlace malicioso.
Conocer el estado de la suscripción podría hacer que las estafas resultaran más convincentes. Un estafador podría enviar mensajes personalizados del tipo «problema de facturación con tu suscripción» o estafas relacionadas con reembolsos, que suelen tener mayores tasas de clics entre los usuarios de pago.
Adquisición de cuentas
Los ciberdelincuentes pueden combinar los nombres de usuario y las direcciones de correo electrónico obtenidos en una filtración con contraseñas sustraídas en otras filtraciones de datos e intentar utilizarlas para acceder a cuentas. Esta técnica, conocida como «credential stuffing», se aprovecha de las personas que reutilizan las mismas contraseñas en varios sitios web.
Las cuentas valiosas pueden venderse a otros jugadores o utilizarse para estafas.
Identity
Los ID de usuario de Steam y Meta vinculados a cuentas vulneradas pueden ayudar a los ciberdelincuentes a relacionar identidades entre plataformas de videojuegos y redes sociales, sobre todo si se reutiliza el mismo correo electrónico o nombre de perfil.
Las direcciones IP, el historial de inicio de sesión, la información del dispositivo y otros identificadores también pueden ayudar a crear un perfil publicitario o de seguimiento más detallado del usuario.
Cómo mantenerse seguro
Independientemente de si la filtración resulta ser real o no, aquí tienes algunas medidas que puedes tomar para protegerte:
Ante todo, ten cuidado con los correos electrónicos, mensajes de texto o llamadas que afirmen proceder de VRChat o de las plataformas de videojuegos en las que lo hayas utilizado, ya que los ciberdelincuentes suelen aprovechar las brechas de seguridad para llevar a cabo estafas de phishing.
Si has utilizado tu contraseña de VRChat en cualquier otro sitio, cambia inmediatamente las contraseñas de esas cuentas y configura la autenticación de dos factores (2FA) en tu cuenta de VRChat, si aún no lo has hecho.
En nuestro artículo sobrequé hacer si descubres que te has visto afectado por una filtración de datos encontrarás más consejos generales.
Actualización del 11 de junio de 2026: El artículo se ha actualizado para reflejar la publicación de VRChat en Reddit.
Antes de publicar nuestro artículo original, intentamos ponernos en contacto con VRChat a través de dos direcciones de correo electrónico diferentes, pero no recibimos ninguna respuesta satisfactoria.
Seamos realistas, una ventana de incógnito tiene sus limitaciones.
Filtraciones de datos, comercio en la dark web, fraude crediticio. Malwarebytes Identity Theft supervisa todo ello, te avisa rápidamente y incluye un seguro contra el robo de identidad.




