confirmando que actores maliciosos externos lograron evadir los perímetros de seguridad y acceder de forma no autorizada a su entorno en la nube entre el 10 y el 12 de mayo de 2026.
Durante esas 48 horas de exposición crítica, los atacantes pudieron ejecutar técnicas avanzadas de exfiltración de datos, extrayendo bases de datos clave relacionadas con los perfiles de los usuarios y sus historiales de acceso. Aunque la compañía logró contener la intrusión de manera inmediata tras su detección sistemática, el daño ya estaba hecho: un volumen masivo de información de identificación personal (PII) ya descansaba en los servidores de los atacantes. Este tipo de incidentes, clasificados como hackeos de sistemas externos, usualmente se originan debido a configuraciones incorrectas en la nube (misconfigurations), credenciales de API comprometidas o vulnerabilidades en herramientas de terceros integradas al ecosistema de la plataforma. (193 words)
**Section 3:**
`
¿Qué información fue exfiltrada y qué permanece a salvo?
`
La diversidad de los datos robados marca un hito preocupante. Al tratarse de una plataforma híbrida que conecta hardware de realidad virtual con aplicaciones móviles y de escritorio, los datos recolectados por VRChat van mucho más allá de un simple registro de correo electrónico. La investigación forense determinó que la información exfiltrada varía según cada cuenta individual, pero incluye de manera confirmada los siguientes elementos sensibles:
- Nombres de usuario