VRChat, Inc. ha presentado una notificación de filtración de datos en la que se revela que la información de más de 2,4 millones de usuarios se ha visto afectada por una filtración de datos.
Actualización del 11 de junio de 2026
¿O acaso fue alguien que se hacía pasar por un representante de la empresa quien publicó este aviso sobre la filtración de datos? En Reddit, un representante de VRChat publicó:
VRChat no ha presentado esta notificación de incidente de datos, y no tenemos motivos para creer que nuestros sistemas se hayan visto comprometidos. Estamos en proceso de ponernos en contacto con la Fiscalía General de Maine para que se retire esta notificación.
Antes de publicar nuestro artículo original, intentamos ponernos en contacto con VRChat a través de dos direcciones de correo electrónico diferentes, pero no recibimos ninguna respuesta satisfactoria.
Según el comunicado, VRChat sufrió un acceso no autorizado a algunos datos de cuentas entre el 10 y el 12 de mayo de 2026. Al parecer, el acceso tuvo lugar en el entorno en la nube de VRChat y afectó a datos relacionados con los perfiles de usuario y el inicio de sesión.
La información filtrada variaba según la cuenta, pero podía incluir:
- Nombre de usuario de VRChat
- Dirección de correo electrónico asociada a la cuenta de VRChat
- Estado de la suscripción a VRChat+
- Historial de inicio de sesión, incluida la información del dispositivo, los identificadores de hardware y las direcciones IP
VRChat afirma expresamente que las contraseñas, los números de tarjetas de crédito u otra información de pago, así como los documentos de identidad oficiales utilizados para la verificación de la edad, no se han visto comprometidos.
VRChat es una plataforma social diseñada principalmente para cascos de realidad virtual, que permite a los usuarios interactuar con otros a través de avatares y mundos en 3D creados por los propios usuarios. Los usuarios pueden acceder a VRChat a través de Steam para PC, la tienda de Meta Quest o como Android en dispositivos compatibles.
Dado que no se han filtrado contraseñas ni datos de tarjetas de pago, es poco probable que se produzca un fraude directo con tarjetas o una apropiación inmediata de los medios de pago solo a raíz de esta filtración. Sin embargo, incluso sin contraseñas ni datos de tarjetas, la combinación de identificadores, direcciones de correo electrónico y datos de IP y dispositivos plantea varios riesgos para los usuarios afectados.
Riesgos potenciales
Phishing
Los ciberdelincuentes pueden utilizar nombres de usuario y direcciones de correo electrónico de VRChat en intentos de phishing dirigidos. Por ejemplo, los usuarios pueden recibir correos electrónicos de phishing o mensajes dentro de la plataforma que afirman proceder del «Servicio de asistencia de VRChat», con alertas de seguridad falsas o mensajes que les piden que «confirmen su verificación de edad» a través de un enlace malicioso.
Conocer el estado de la suscripción a VRChat+ podría hacer que las estafas resultaran más convincentes. Un estafador podría enviar mensajes personalizados del tipo «problema de facturación con tu suscripción a VRChat+» o estafas relacionadas con reembolsos, que suelen tener mayores tasas de clics entre los usuarios de pago.
Suplantación de identidad
Los ciberdelincuentes podrían combinar los nombres de usuario y las direcciones de correo electrónico de esta filtración con contraseñas sustraídas en otras filtraciones de datos e intentar utilizarlas en cuentas de VRChat. Esta técnica, conocida como «credential stuffing», se aprovecha de las personas que reutilizan las mismas contraseñas en varios sitios web.
Las cuentas valiosas pueden venderse a otros jugadores o utilizarse para estafas.
Identity
Los ID de usuario de Steam y Meta vinculados a cuentas de VRChat pueden ayudar a los ciberdelincuentes a relacionar identidades entre plataformas de videojuegos y redes sociales, sobre todo si se reutiliza la misma dirección de correo electrónico o el mismo nombre de perfil.
Las direcciones IP, el historial de inicio de sesión, la información del dispositivo y otros identificadores también pueden ayudar a crear un perfil publicitario o de seguimiento más detallado del usuario.
Cómo mantenerse seguro
VRChat afirma que ha implementado medidas de seguridad adicionales y ha contratado a profesionales para vigilar la aparición de nuevas amenazas. Si te has visto afectado por la filtración, estas son algunas medidas que puedes tomar para protegerte:
Ante todo, ten cuidado con los correos electrónicos, mensajes de texto o llamadas que afirmen proceder de VRChat o de las plataformas de videojuegos en las que lo hayas utilizado, ya que los ciberdelincuentes suelen aprovechar las brechas de seguridad para llevar a cabo estafas de phishing.
Si has utilizado tu contraseña de VRChat en cualquier otro sitio, cambia inmediatamente las contraseñas de esas cuentas y configura la autenticación de dos factores (2FA) en tu cuenta de VRChat, si aún no lo has hecho.
En nuestro artículo sobrequé hacer si descubres que te has visto afectado por una filtración de datos encontrarás más consejos generales.
Seamos realistas, una ventana de incógnito tiene sus limitaciones.
Filtraciones de datos, comercio en la dark web, fraude crediticio. Malwarebytes Identity Theft supervisa todo ello, te avisa rápidamente y incluye un seguro contra el robo de identidad.
