• Los incidentes de seguridad forman parte de la realidad de cualquier servicio digital moderno, especialmente en plataformas con millones de usuarios. Sin embargo, más allá del propio ataque, la forma en que una empresa comunica lo ocurrido puede resultar determinante para mantener la confianza de su comunidad. O para perderla, claro. En ese contexto se ha producido recientemente una nueva polémica relacionada con Star Citizen, después de que sus responsables confirmaran un acceso no autorizado a parte de sus sistemas… más de cinco semanas después de que se produjera el incidente.

Según ha explicado Cloud Imperium Games (CIG) en un comunicado oficial, el ataque tuvo lugar el 21 de enero de 2026, cuando actores externos lograron acceder a algunos sistemas de copia de seguridad de la compañía. La empresa afirma que el acceso fue limitado y que se actuó rápidamente para contener la intrusión y bloquear cualquier acceso adicional a sus sistemas. Tras el incidente, el estudio asegura haber reforzado sus configuraciones de seguridad para evitar situaciones similares en el futuro.

La información comprometida corresponde a datos básicos de cuentas de usuario. Entre los datos potencialmente accesibles se encuentran metadatos, nombres, fechas de nacimiento, nombres de usuario y datos de contacto asociados a las cuentas. La compañía también ha insistido en que no se almacenaban datos financieros en los sistemas afectados, por lo que no se habría accedido a información de pago. Del mismo modo, CIG asegura que las contraseñas tampoco se vieron comprometidas y que el acceso a los datos fue únicamente de lectura, sin que se produjera modificación o inyección de información en las bases de datos. Puede parecer poca cosa, sí, pero que tus datos personales acaben en manos de actores maliciosos, es bastante peor del optimismo que se traduce de la enumeración de los tipos de datos filtrados.

El punto que ha generado mayor controversia no es solo el incidente en sí como la forma en que se ha gestionado su comunicación. La brecha de seguridad ocurrió a finales de enero, pero el estudio no ha informado públicamente de lo sucedido hasta más de cinco semanas después, mediante un aviso publicado en su blog oficial. Ese retraso ha provocado críticas entre parte de la comunidad, que cuestiona por qué la compañía no notificó el incidente antes o recurrió a canales más visibles para alertar a los usuarios.

Este retraso también ha abierto el debate sobre posibles implicaciones regulatorias. Aunque Cloud Imperium Games opera desde el Reino Unido, Star Citizen cuenta con usuarios en la Unión Europea, por lo que una brecha que afecte a datos personales de ciudadanos europeos podría quedar dentro del ámbito del Reglamento General de Protección de Datos (GDPR). Esta normativa establece obligaciones estrictas de notificación cuando se produce una filtración de información personal, lo que ha llevado a algunos usuarios a cuestionar si el tiempo transcurrido antes del anuncio fue el adecuado.

El contexto particular de Star Citizen también ayuda a entender la intensidad de la reacción. El proyecto, anunciado originalmente en 2012, se ha convertido en uno de los desarrollos más largos y ambiciosos de la industria del videojuego, financiado en gran parte mediante aportaciones directas de su propia comunidad. A lo largo de más de una década, el juego ha acumulado cerca de 1.000 millones de dólares en financiación, una cifra inédita para un proyecto surgido a través del apoyo de los propios jugadores.

Por eso, más allá del incidente concreto, el episodio vuelve a poner sobre la mesa un aspecto cada vez más relevante en la industria digital: la importancia de la transparencia cuando se producen problemas de seguridad. En proyectos con comunidades tan implicadas como Star Citizen, donde muchos jugadores han invertido dinero durante años, la rapidez y claridad al comunicar este tipo de situaciones puede resultar tan importante como la propia respuesta técnica al ataque.