200 millones de registros íntimos: ShinyHunters pone en peligro la reputación de usuarios de Pornhub

La plataforma Pornhub afirmó que fue víctima de extorsión por parte del grupo ShinyHunters: los atacantes aseguran haber obtenido datos sobre las búsquedas y el historial de visualizaciones de usuarios Premium. Según la compañía, se trata de consecuencias del incidente en el proveedor de análisis Mixpanel y no de una intrusión en los sistemas internos de Pornhub.

Pornhub informó que la semana pasada supo de la afectación debido al reciente incidente en Mixpanel — el 8 de noviembre de 2025 el servicio analítico fue comprometido tras un ataque de phishing que permitió a los atacantes acceder a los sistemas. En un aviso, Pornhub subraya que la situación afecta solo a una parte de los usuarios Premium y no está relacionada con una intrusión en Pornhub Premium: contraseñas, datos de pago e información financiera, según la compañía, no se vieron afectadas.

Pornhub señala además que no trabaja con Mixpanel desde 2021, por lo que los registros robados, si realmente pertenecen a Pornhub, deberían ser históricos — como máximo hasta 2021. Al mismo tiempo, Mixpanel indica que el incidente de noviembre afectó a un «número limitado» de clientes, y anteriormente OpenAI y CoinTracker informaron sobre su impacto.

Esta historia fue la primera confirmación pública de que ShinyHunters estaba detrás del chantaje a los clientes de Mixpanel. Según se supo, la semana pasada ShinyHunters comenzaron a enviar correos con amenazas de publicar los datos si no se pagaba el rescate. En la exigencia dirigida a Pornhub, los atacantes afirmaron haber robado 94 GB de datos y más de 200 millones de registros de información personal, y luego confirmaron que se trataba de 201 211 943 registros de actividad histórica de cuentas Premium — búsquedas, reproducciones y descargas.

Una pequeña muestra muestra que los «eventos» de analítica pueden contener detalles extremadamente sensibles: el correo electrónico del usuario, el tipo de actividad, la ubicación, la URL y el título del video, palabras clave, así como la hora en que ocurrió la acción. Entre los tipos de actividad figuran la visualización y la descarga de videos, la visita a un canal y, según ShinyHunters, las búsquedas.

Tras la publicación, Mixpanel dijo que no considera que esos datos fueran sustraídos durante el incidente de noviembre. Según la compañía, no hay indicios de una filtración desde Mixpanel en el incidente de noviembre de 2025, y el último acceso a esos datos supuestamente lo realizó una cuenta legítima de un empleado de la empresa matriz de Pornhub en 2023. Si los datos aparecieron en manos de terceros, Mixpanel afirma que, en su opinión, no está relacionado con la compromisión de Mixpanel.

En 2025 ShinyHunters ya estuvieron detrás de una serie de grandes filtraciones, accediendo a datos a través de diversos integradores de Salesforce y ataques relacionados. Al grupo también se le relaciona con la explotación de una vulnerabilidad zero-day en Oracle E-Business Suite (CVE-2025-61884), ataques a Salesforce/Drift, así como con la reciente intrusión en GainSight, que, según se afirma, proporcionó a los atacantes acceso a datos adicionales de Salesforce de distintas organizaciones.

Ahora, con la confirmación de la participación de ShinyHunters también en la historia de Mixpanel, se les señala como responsables de algunas de las filtraciones más destacadas de 2025. Además, según la información disponible, ShinyHunters están creando un nuevo ransomware-as-a-service llamado ShinySpid3r, que debería servir como plataforma para ellos mismos y para atacantes vinculados a Scattered Spider para llevar a cabo ataques de extorsión.