Brecha de seguridad compromete datos de 340 millones de cuentas de OnlyFans
20XX 
La plataforma de contenido para adultos OnlyFans habría sido víctima de una brecha de seguridad que expuso los datos de 340 millones de cuentas, incluyendo tanto a creadores de contenido como a suscriptores. Según informes no oficiales difundidos en foros de ciberseguridad y confirmados por múltiples fuentes de inteligencia de amenazas, la base de datos completa está siendo vendida en mercados clandestinos. La información filtrada incluye nombres de usuario, correos electrónicos, números de teléfono, fechas de creación de cuentas, métricas de seguidores y suscriptores, perfiles de redes sociales vinculados y los últimos cuatro dígitos de las tarjetas de pago asociadas.
El ataque habría ocurrido en algún momento de las últimas semanas, aunque la compañía no ha emitido un comunicado oficial hasta el momento de esta publicación. Los investigadores de seguridad que analizaron las muestras de datos disponibles afirman que la información parece auténtica y coincide con patrones de la plataforma. La base de datos incluye 340 millones de registros, una cifra que supera ligeramente el número de usuarios registrados que OnlyFans había reportado en años anteriores, lo que sugiere que la filtración podría abarcar prácticamente toda la base de usuarios activos e inactivos.
Entre los datos expuestos se encuentran identificadores únicos de usuario, nombres de perfil (que pueden ser reales o seudónimos), direcciones de correo electrónico completas, números de teléfono en formato internacional, la fecha exacta de creación de la cuenta, métricas como el número de seguidores (para creadores) o de suscripciones (para consumidores), clasificaciones internas de la plataforma (como “top creator” o “verified”), enlaces a otras redes sociales como Twitter, Instagram o TikTok, y metadatos parciales de pago, incluyendo los últimos cuatro dígitos de la tarjeta, la fecha de expiración (mes y año) y el tipo de tarjeta. No se ha confirmado si los números completos de tarjeta o los CVV también fueron comprometidos.
El mayor peligro para los usuarios afectados no es solo el robo de identidad o el fraude financiero, sino la extorsión. Los actores maliciosos que adquieran la base de datos podrían contactar a los usuarios amenazando con revelar su actividad en OnlyFans a sus familiares, empleadores o parejas, a menos que paguen un rescate. Este tipo de chantaje es común tras la filtración de datos de plataformas para adultos, y suele tener un alto índice de éxito debido a la naturaleza sensible del contenido. Los expertos recomiendan a los usuarios de OnlyFans cambiar inmediatamente sus contraseñas, habilitar la autenticación en dos factores si la plataforma lo permite, y estar atentos a correos electrónicos sospechosos que exijan pagos en criptomonedas.
Hasta el cierre de esta edición, OnlyFans no ha reconocido públicamente la brecha ni ha notificado a los usuarios afectados. La empresa matriz, Fenix International Limited, con sede en el Reino Unido, no ha respondido a las solicitudes de comentarios de la prensa. La filtración, de confirmarse, sería una de las más grandes en la historia de plataformas de contenido para adultos, superando a la de AdultFriendFinder en 2016 (412 millones de cuentas, pero muchas de ellas inactivas o duplicadas) y acercándose a la magnitud de las grandes brechas de empresas tecnológicas como Yahoo o Marriott. Los 340 millones de registros equivalen aproximadamente al 40% de la población de Estados Unidos, o a toda la población de Indonesia.
La venta de la base de datos se ofrece actualmente en foros de la dark web con precios que oscilan entre los 500.000 y los 2 millones de dólares, dependiendo del comprador y la exclusividad. Los ciberdelincuentes han publicado muestras de datos para probar su autenticidad, y varios investigadores independientes han confirmado que las muestras contienen información de usuarios reales, aunque algunos correos electrónicos y números de teléfono ya no están activos. OnlyFans reportó en 2025 tener más de 300 millones de usuarios registrados y más de 3 millones de creadores de contenido. Si la cifra de 340 millones es correcta, la brecha habría expuesto datos de casi el 100% de su base de usuarios.
Los expertos en seguridad recomiendan a cualquier persona que haya tenido una cuenta en OnlyFans, incluso si ya no está activa, asumir que sus datos están comprometidos. Las direcciones de correo electrónico y números de teléfono pueden ser utilizados en ataques de phishing o de credenciales (credential stuffing) contra otros servicios. Se aconseja utilizar contraseñas únicas para cada plataforma y monitorear los informes de crédito en busca de actividad sospechosa.
*Fuente: X, 24 de mayo de 2026*
