Elena Durán
La base de datos del ecosistema startup, en manos de criminales
No voy a endulzarlo: Crunchbase tiene un problema catastrófico. El grupo criminal ShinyHunters ha filtrado más de 2 millones de registros robados de la plataforma que todo el ecosistema startup utiliza para tomar decisiones de inversión, ventas y due diligence.
Estamos hablando de 400MB de datos comprimidos que incluyen información personal identificable (PII), contratos firmados, documentos corporativos y registros de empleados. 320,973 personas tienen su información sensible expuesta en la dark web mientras lees esto.
Mi veredicto es claro: esto no es solo un data breach más. Es un ataque directo a la infraestructura de confianza del mundo startup. Crunchbase no es una app cualquiera; es la herramienta que usan inversores, founders y equipos de ventas para evaluar empresas, cerrar deals y verificar identidades. Si esos datos están comprometidos, la puerta queda abierta a una ola de suplantaciones que podría paralizar operaciones de venture capital durante meses.
Y lo peor: ShinyHunters filtró todo porque Crunchbase se negó a pagar el rescate. A veces la decisión correcta tiene consecuencias brutales.
Quién es ShinyHunters y por qué deberías conocer su nombre
Los cazadores de datos más prolíficos del mundo
ShinyHunters no es un grupo nuevo ni amateur. Activos desde 2020, tomaron su nombre de los cazadores de Pokemon "shiny" — criaturas raras de color diferente que los jugadores obsesivamente buscan. La analogía es perfecta: estos hackers buscan datos raros y valiosos con la misma obsesión.
Los números hablan por sí solos:
| Víctima | Registros robados | Año |
|---|---|---|
| AT&T | 110 millones de registros | 2024 |
| Santander | 30 millones de clientes | 2024 |
| Tokopedia | 91 millones de cuentas | 2020 |
| Microsoft GitHub | 500GB de código fuente | 2020 |
| Grubhub | Datos de usuarios y drivers | 2026 |
| SoundCloud | Datos de artistas y usuarios | 2026 |
| Betterment | Datos financieros | 2026 |
Si me preguntas directamente, ShinyHunters es probablemente el grupo de robo de datos más exitoso de la historia. Han comprometido información de más de mil millones de usuarios a través de cientos de empresas. No exagero: mil millones.
La superalianza del cibercrimen
Pero aquí se pone más interesante. ShinyHunters no opera en aislamiento. Forman parte de un supergrupo llamado SLSH, una alianza que incluye a:
- Scattered Spider: El grupo que tumbó a MGM Resorts y Caesars Entertainment causando pérdidas de cientos de millones
- LAPSUS$: Responsables de brechas en Uber, Nvidia, Microsoft y Rockstar Games
- ShinyHunters: Los operadores de BreachForums, el mercado negro de datos robados más grande del mundo
Esta alianza combina las especialidades de cada grupo: ingeniería social (Scattered Spider), acceso inicial (LAPSUS$) y monetización de datos (ShinyHunters). Es como un conglomerado criminal con departamentos especializados.
Y el drama interno tampoco falta: en enero de 2026, un miembro conocido como "James" expuso los datos de 323,000 usuarios de BreachForums, el propio foro que ShinyHunters opera. Cuando los criminales se traicionan entre sí, nadie está a salvo.
Cómo entraron: el arte oscuro del vishing
La llamada que destruyó la seguridad de Crunchbase
El método de entrada no fue un exploit de día cero ni un malware sofisticado. Fue algo mucho más simple y, francamente, más aterrador: una llamada telefónica.
ShinyHunters utilizó vishing (voice phishing) — phishing por voz — para comprometer las credenciales de Okta SSO de un empleado de Crunchbase. Así funciona el ataque paso a paso:
Fase 1: Reconocimiento Los atacantes investigan al empleado objetivo. Averiguan qué aplicaciones usa la empresa, quién es el equipo de IT, cuáles son los números de soporte interno. LinkedIn, Glassdoor, e incluso ofertas de empleo revelan la pila tecnológica de cualquier empresa.
Fase 2: Preparación del escenario Crean páginas de phishing personalizadas que replican exactamente el portal de login de la empresa. No son páginas genéricas; son copias pixel-perfect del portal de Okta con el logo y branding de Crunchbase.
Fase 3: La llamada Llaman al empleado suplantando al equipo de IT. Usan números de teléfono falseados (spoofed) que aparecen como el número real de soporte de la empresa. "Hola, soy del equipo de seguridad. Hemos detectado actividad sospechosa en tu cuenta y necesitamos que verifiques tus credenciales."
Fase 4: Interceptación en tiempo real El empleado entra al enlace que le dieron, introduce su usuario, contraseña y código MFA. Todo se retransmite en tiempo real a los atacantes vía Telegram. Los kits de phishing dinámicos permiten a los atacantes controlar lo que la víctima ve en su pantalla en cada momento.
Fase 5: Acceso total Con las credenciales de Okta SSO comprometidas, los atacantes acceden a TODAS las aplicaciones empresariales conectadas. Email, CRM, bases de datos, almacenamiento en la nube, herramientas internas. Una sola credencial abre todas las puertas.
Este mismo método ha sido utilizado contra más de 100 empresas en los últimos 30 días. No es un ataque aislado; es una operación industrial.
Si quieres entender cómo otros ataques de ingeniería social están comprometiendo herramientas que usas a diario, te recomiendo revisar nuestro análisis sobre extensiones de Chrome robando conversaciones de IA. El patrón es el mismo: el eslabón más débil siempre es el humano.
Qué datos fueron robados y por qué importa
El inventario del desastre
Crunchbase confirmó la brecha y reveló que los datos expuestos incluyen:
- Información personal identificable (PII): Nombres, emails, teléfonos, direcciones
- Contratos firmados: Acuerdos comerciales con firmas reales
- Documentos corporativos: Información estratégica de empresas listadas
- Registros de empleados: Datos internos del personal de Crunchbase
- 320,973 individuos directamente afectados con información sensible
Los 400MB de datos comprimidos fueron filtrados públicamente después de que Crunchbase se negara a pagar el rescate exigido por ShinyHunters.
El efecto dominó en el ecosistema startup
Aquí es donde la cosa se pone realmente seria. Crunchbase no es una red social ni una tienda online. Es infraestructura crítica del ecosistema de innovación:
Para inversores (VCs y angels):
- Es la herramienta principal de deal sourcing
- La usan para verificar información de startups antes de invertir
- Contiene datos de rondas de financiación, valoraciones, co-inversores
Para equipos de ventas (B2B):
- Es la base de datos de prospección por excelencia
- Datos de contacto de decision-makers en miles de empresas
- Historial de financiación que determina capacidad de compra
Para founders:
- Su perfil en Crunchbase es su carta de presentación ante inversores
- Datos de rondas anteriores, co-founders, métricas clave
Ahora imagina lo que un atacante puede hacer con todo esto:
- Suplantación de inversores: Enviar emails desde "Sequoia Capital" con datos reales de portfolio companies para engañar a founders
- Phishing dirigido a founders: "Hola [nombre real], vi que levantaron [cantidad real] en su Serie A. Tengo interés en la Serie B..." — con datos reales, la tasa de éxito del phishing se multiplica
- Fraude contractual: Con contratos firmados reales como plantilla, falsificar acuerdos comerciales
- Robo de identidad corporativa: Crear perfiles falsos de empresas reales para estafas
No voy a endulzarlo: cualquier persona cuya información esté en Crunchbase debería asumir que será objetivo de ataques de ingeniería social en los próximos meses. El artículo sobre la brecha de Nike por WorldLeaks demuestra que estos datos robados se explotan rápidamente.
ShinyHunters en 2026: la maquinaria no para
El ataque a Crunchbase no es un evento aislado. ShinyHunters ha mantenido un ritmo de ataques vertiginoso en enero de 2026:
| Objetivo | Tipo de datos | Método |
|---|---|---|
| Crunchbase | PII, contratos, documentos | Vishing + Okta |
| Grubhub | Datos de clientes y repartidores | Proveedor comprometido |
| SoundCloud | Datos de artistas y usuarios | No revelado |
| Betterment | Información financiera personal | No revelado |
Además, ShinyHunters opera BreachForums, el mercado negro de datos más grande del mundo. Es como si el ladrón también fuera dueño de la casa de empeño. Roban los datos Y controlan la plataforma donde se venden. Un modelo de negocio criminal verticalmente integrado.
Pero la ironía del año: en enero de 2026, el miembro conocido como "James" expuso la base de datos de BreachForums con 323,000 usuarios registrados. Nombres, emails, IPs, actividad... de los propios criminales y sus clientes. Los cazadores se convirtieron en presas.
Respuesta de Crunchbase y consecuencias legales
La confirmación oficial
Crunchbase confirmó la brecha y tomó las siguientes medidas:
- Contrató expertos en ciberseguridad para investigar el alcance
- Notificó a las autoridades federales (FBI y agencias relevantes)
- Se negó a pagar el rescate, lo que provocó la filtración pública de los datos
Si me preguntas directamente, la decisión de no pagar es la correcta desde el punto de vista ético y estratégico. Las estadísticas son claras: el 84% de las empresas que pagan no recuperan todos sus datos, y el 69% son atacadas de nuevo. Pagar solo financia más ataques.
Pero eso no elimina las consecuencias.
Demandas colectivas en marcha
Al menos dos firmas de abogados de alto perfil están investigando acciones legales:
- Schubert Jonckheer & Kolbe: Especializados en demandas colectivas de privacidad y valores
- Edelson Lechtzin LLP: Conocidos por litigios de data breach y protección al consumidor
Ambas firmas están buscando activamente afectados para representar. Si tus datos estaban en Crunchbase — y si trabajas en el ecosistema startup, probablemente lo estaban — podrías ser parte de una demanda colectiva.
El precedente legal de AT&T es relevante: tras la brecha de ShinyHunters en 2024 que expuso 110 millones de registros, AT&T enfrentó multas regulatorias y demandas que superaron los $13 millones solo en acuerdos iniciales.
Cómo protegerte ahora mismo
Si tienes cuenta en Crunchbase
Acciones inmediatas que debes tomar hoy:
1. Cambia todas tus contraseñas asociadas No solo la de Crunchbase. Cualquier servicio donde uses el mismo email o contraseña similar. Si reutilizas contraseñas (y seamos honestos, mucha gente lo hace), este es el momento de parar.
2. Activa autenticación resistente al phishing Las llaves de seguridad FIDO2/WebAuthn (como YubiKey) son la única forma de MFA que resiste ataques de vishing y phishing en tiempo real. Los códigos SMS y las apps de autenticación pueden ser interceptados con los kits que usa ShinyHunters.
3. Vigila comunicaciones sospechosas En las próximas semanas, estate atento a:
- Emails de "inversores" o "partners" que conocen datos muy específicos sobre ti o tu empresa
- Llamadas de "soporte técnico" pidiendo verificar credenciales
- Ofertas de inversión que parecen demasiado buenas
- Cualquier comunicación que use datos que solo Crunchbase tendría
4. Pon alertas de fraude en tu crédito Contacta a las principales agencias de crédito (Equifax, Experian, TransUnion) para colocar alertas de fraude o congelaciones de crédito. Es gratis y te protege contra apertura de cuentas fraudulentas.
5. Monitoriza posible suplantación Si eres founder o ejecutivo, busca regularmente tu nombre en Google para detectar perfiles falsos que usen tus datos reales.
Para una guía completa de herramientas de protección, consulta nuestro artículo sobre las mejores herramientas de ciberseguridad en 2026.
Si diriges una empresa que usa Okta
El vector de ataque que comprometió a Crunchbase — vishing dirigido a credenciales Okta — es una amenaza activa contra cualquier organización que use Single Sign-On:
Medidas críticas:
- Implementa llaves de seguridad FIDO2 como método MFA obligatorio
- Entrena a tu equipo específicamente contra ataques de vishing (no solo phishing por email)
- Configura alertas para logins desde ubicaciones o dispositivos inusuales
- Reduce los privilegios de acceso: no todos necesitan acceso a todo vía SSO
- Implementa verificación fuera de banda para solicitudes de soporte IT (un segundo canal de comunicación)
El panorama de ciberseguridad en enero 2026
Una epidemia de brechas
Crunchbase no está sola. Enero de 2026 ha sido brutal para la seguridad corporativa:
| Empresa | Atacante | Registros afectados |
|---|---|---|
| Crunchbase | ShinyHunters | 2+ millones |
| Grubhub | ShinyHunters | No revelado |
| Nike | WorldLeaks | 188,347 archivos |
| BreachForums | Insider ("James") | 323,000 usuarios |
El patrón es claro: los grupos criminales están más organizados, más sofisticados y más productivos que nunca. Y sus métodos favoritos ya no son exploits técnicos complejos. Es ingeniería social. Llamadas telefónicas. Emails convincentes. Suplantación de identidad.
El caso de Trust Wallet y el hack de Shai Hulud demuestra que ningún sector está a salvo: desde fintech hasta bases de datos de startups, los atacantes van donde están los datos valiosos.
Mi veredicto: la confianza del ecosistema startup está en juego
Después de analizar este caso en profundidad, mi conclusión es clara:
Crunchbase hizo bien en no pagar. Las estadísticas demuestran que pagar rescates no garantiza nada y solo financia más ataques. Pero la decisión tiene un coste: 320,973 personas con sus datos expuestos y un ecosistema de startups que depende de esta plataforma para funcionar.
Lo que realmente me preocupa no es la brecha en sí. Es lo que viene después. Los datos de Crunchbase son oro puro para ingeniería social. Cuando un atacante puede enviar un email a un founder diciendo "Vi que cerraste tu Serie A de $5M con Sequoia el pasado marzo" — usando datos reales — la probabilidad de éxito del ataque se multiplica exponencialmente.
Tres predicciones:
- Veremos una ola de ataques de suplantación en los próximos 3-6 meses, usando datos de Crunchbase para hacerse pasar por inversores, founders y partners
- Las demandas colectivas costarán más que el rescate que ShinyHunters pidió. La ironía es brutal
- Okta SSO se convertirá en el vector de ataque más explotado de 2026, porque una sola credencial abre todas las puertas de una organización
Si me preguntas directamente: toda empresa que use Okta debería implementar FIDO2 hoy, no mañana. El vishing funciona contra códigos MFA tradicionales. Solo las llaves físicas de seguridad son inmunes.
La era en la que un data breach solo significaba "cambiar tu contraseña" terminó. Ahora significa que alguien puede hacerse pasar por ti con datos reales, contratos reales y contexto real. Y eso es mucho más peligroso que una contraseña filtrada.
El ecosistema startup construyó su infraestructura de confianza sobre plataformas como Crunchbase. Cuando esa infraestructura se compromete, no solo se roban datos: se roba la confianza. Y recuperarla es infinitamente más difícil que parchear un servidor.
Preguntas frecuentes (FAQs)
¿Qué datos exactamente se robaron de Crunchbase?
ShinyHunters robó más de 2 millones de registros contenidos en 400MB de datos comprimidos. La información incluye datos personales identificables (PII) como nombres, emails y teléfonos, contratos firmados con empresas, documentos corporativos internos y registros de empleados de Crunchbase. Un total de 320,973 individuos tienen su información sensible directamente expuesta.
¿Cómo consiguió ShinyHunters acceder a Crunchbase?
Utilizaron vishing (phishing por voz) para robar credenciales de Okta SSO de un empleado. Los atacantes llamaron haciéndose pasar por el equipo de IT, dirigieron al empleado a una página de login falsa y interceptaron en tiempo real las credenciales y el código MFA. Con acceso al SSO, pudieron entrar a todas las aplicaciones empresariales conectadas.
¿Crunchbase pagó el rescate a ShinyHunters?
No. Crunchbase se negó a pagar, lo que llevó a ShinyHunters a filtrar públicamente todos los datos robados. La empresa confirmó la brecha, contrató expertos en ciberseguridad y notificó a las autoridades federales. Aunque no pagar es la decisión recomendada por expertos, las consecuencias son que los datos ahora están disponibles públicamente.
¿Estoy afectado si tengo perfil en Crunchbase?
Potencialmente sí. Si alguna vez creaste una cuenta, actualizaste tu perfil profesional o tu empresa aparece en la plataforma, tus datos podrían estar entre los más de 2 millones de registros robados. Deberías cambiar contraseñas, activar MFA resistente al phishing (FIDO2), vigilar comunicaciones sospechosas y considerar una alerta de fraude en tu crédito.
¿Qué es ShinyHunters y cuántas empresas han hackeado?
ShinyHunters es un grupo de hackers activo desde 2020, nombrado por los cazadores de Pokemon "shiny". Han robado datos de más de mil millones de usuarios a través de cientos de empresas, incluyendo AT&T (110M registros), Santander (30M clientes) y Microsoft GitHub (500GB de código fuente). Operan BreachForums, el mayor mercado de datos robados, y forman parte del supergrupo SLSH junto con Scattered Spider y LAPSUS$.
