Se ha presentado un aviso de violación de datos ante el Fiscal General de Maine, diciendo que se han violado los datos de más de 2,4 millones de usuarios de VRChat.
La pregunta es: ¿fue VRChat quien presentó el aviso de incumplimiento o alguien que pretendía representar a la empresa lo publicó? En Reddit, un representante de VRChat publicó:
VRChat no envió este Aviso de incidente de datos y no tenemos motivos para creer que nuestros sistemas hayan sido comprometidos. Estamos en el proceso de comunicarnos con la oficina del Fiscal General de Maine para eliminar esto.
El aviso de infracción establece que VRChat experimentó acceso no autorizado a algunos datos de la cuenta entre el 10 y el 12 de mayo de 2026. El acceso supuestamente ocurrió en el entorno de nube de VRChat e involucró el perfil del usuario y los datos relacionados con el inicio de sesión.
Según el aviso, la información expuesta varió según la cuenta, pero puede haber incluido:
- nombre de usuario de VRChat
- Dirección de correo electrónico asociada con la cuenta VRChat
- Estado de suscripción a VRChat+
- Historial de inicio de sesión, incluida información del dispositivo, identificadores de hardware y direcciones IP
VRChat es una plataforma social diseñada principalmente para cascos de realidad virtual, que permite a los usuarios interactuar con otros a través de mundos y avatares 3D creados por el usuario. Los usuarios pueden acceder a VRChat a través de Steam para PC, Meta Quest Store o como una aplicación de Android para dispositivos compatibles.
El aviso indica que no se expusieron contraseñas ni datos de tarjetas de pago. Sin embargo, incluso sin contraseñas ni datos de tarjetas, todavía existen riesgos potenciales cuando se trata de otros datos vulnerados.
Phishing
Los ciberdelincuentes pueden utilizar nombres de usuario y direcciones de correo electrónico en intentos de phishing dirigidos. Por ejemplo, los usuarios pueden recibir correos electrónicos de phishing o mensajes en la plataforma que dicen ser de «Soporte», con alertas de seguridad falsas o solicitudes para «confirmar su edad» a través de un enlace malicioso.
Conocer el estado de la suscripción podría hacer que las estafas sean más convincentes. Un estafador podría enviar señuelos personalizados como “problema de facturación con su suscripción” o estafas de reembolso, que tienden a tener tasas de clics más altas entre los usuarios que pagan.
Adopción de cuenta
Los ciberdelincuentes pueden combinar nombres de usuario y direcciones de correo electrónico de una vulneración de datos con contraseñas robadas en otras vulneraciones de datos y probarlas con cuentas. Esta técnica, conocida como relleno de credenciales, se aprovecha de las personas que reutilizan contraseñas en varios sitios.
Las cuentas valiosas pueden luego venderse a otros jugadores o usarse para estafas.
Correlación de identidad
Los ID de usuario de Steam y Meta vinculados a cuentas vulneradas pueden ayudar a los ciberdelincuentes a conectar identidades en plataformas sociales y de juegos, especialmente si se reutiliza el mismo correo electrónico o nombre de perfil.
Las direcciones IP, el historial de inicio de sesión, la información del dispositivo y otros identificadores también pueden ayudar a crear un perfil publicitario o de seguimiento más detallado de un usuario.
Cómo mantenerse seguro
Ya sea que la infracción resulte ser una infracción real o no, aquí hay algunos pasos que puede seguir para protegerse:
En primer lugar, tenga cuidado con los correos electrónicos, mensajes de texto o llamadas que afirman provenir de VRChat o de las plataformas de juegos en las que lo utilizó, ya que los ciberdelincuentes a menudo aprovechan las infracciones con estafas de phishing.
Si ha utilizado su contraseña de VRChat en otro lugar, cambie esas cuentas inmediatamente y configure la autenticación de dos factores (2FA) en su cuenta de VRChat si aún no lo ha hecho.
Puede encontrar consejos más generales en nuestro artículo sobre qué hacer cuando descubre que está involucrado en una violación de datos.
Actualización 11 de junio de 2026: El artículo se actualizó para reflejar la publicación de VRChat en Reddit.
Antes de publicar nuestro artículo original, intentamos comunicarnos con VRChat en dos direcciones de correo electrónico distintas, pero no recibimos ninguna respuesta significativa.
Seamos realistas, una ventana de incógnito no puede hacer mucho.
Infracciones, comercio en la web oscura, fraude crediticio. Malwarebytes Identity Theft Protection lo monitorea todo, le avisa rápidamente y viene con un seguro contra robo de identidad.
/https%3A%2F%2Fsportsmole-media-prod.s3.gra.io.cloud.ovh.net%2Fuploads%2F2025%2F12%2Fangelo-stiller-6-694424dca6ee2790638985.jpg?w=100&resize=100,75&ssl=1 "Vista previa: Stuttgart vs Friburgo – predicción, noticias del equipo, alineaciones")
