El fin de semana del 27 y 28 de diciembre de 2025 marcó uno de los incidentes de ciberseguridad más graves en la historia reciente de Ubisoft, con implicaciones que trascienden el ámbito de los videojuegos y ponen de relieve fallos sistémicos en la infraestructura digital de la compañía.
A diferencia de filtraciones anteriores, este ataque expuso la fragilidad de los sistemas de una empresa que ya enfrentaba problemas de reputación y confianza.
El Incidente: Cronología y Manifestación
El ataque comenzó a revelarse públicamente el 27 de diciembre de 2025 cuando jugadores de Rainbow Six Siege reportaron anomalías sin precedentes en sus cuentas.
Miles de usuarios experimentaron simultáneamente saldos de créditos R6 inflados absurdamente, acceso a contenido cosmético raro y sanciones arbitrarias. Los hackers manipularon incluso el sistema de anuncios de baneos del juego para insertar mensajes jocosos.
En cuestión de horas, la magnitud del compromiso se hizo evidente: 2 mil millones de créditos R6 fueron distribuidos de forma indiscriminada, lo que generó un colapso de la economía interna del juego.
Ubisoft desconectó los servidores de Rainbow Six Siege y clausuró su marketplace durante la noche de Navidad, afectando a decenas de millones de jugadores.
A través de su cuenta oficial en X, Ubisoft anunció: “We are aware of an issue currently affecting Rainbow Six Siege. Our teams are working on a resolution.” Posteriormente se confirmó que se trataba de una brecha de seguridad que comprometió sistemas backend críticos.
La Vulnerabilidad Técnica: MongoBleed (CVE-2025-14847)
La raíz técnica del desastre fue MongoBleed, una vulnerabilidad crítica en MongoDB divulgada públicamente el 24 de diciembre de 2025. Este fallo permite a atacantes no autenticados filtrar datos sensibles directamente desde servidores MongoDB vulnerables, afectando versiones desde la v3.6 hasta la v8.2.2.
Aunque se liberaron parches, más de 200.000 instancias permanecen expuestas globalmente, con un 42% en entornos de nube.
En Ubisoft, una instancia mal configurada de MongoDB permitió a los atacantes escalar privilegios y acceder a repositorios internos, herramientas de desarrollo y bases de datos con credenciales y códigos de juegos publicados y en desarrollo.
¿Qué Se Robó a Ubisoft Realmente?
Reportes en redes y foros afirmaban que se habían llevado terabytes de código fuente, incluyendo títulos no anunciados como Assassin’s Creed, Far Cry y Splinter Cell.
Aunque, las fuentes oficiales indican que solo hubo acceso a sistemas internos, y no se comprometieron datos personales o financieros de clientes.
Expertos independientes sugieren que la cobertura sensacionalista podría haber exagerado el alcance real del incidente.
Respuesta de Ubisoft
Ubisoft activó protocolos de crisis y ejecutó un rollback de todas las transacciones posteriores a las 11:49 UTC, deteniendo el caos económico dentro del juego.
El 29 de diciembre reabrió los servidores en fase limitada, permitiendo pruebas en entorno vivo. Se enfatizó que:
- Ningún jugador sería sancionado por créditos ilegítimos.
- Se revertirían todas las transacciones con créditos comprometidos.
- El marketplace permanecería cerrado mientras continuaban las investigaciones.
- Se desbloquearon cuentas restringidas por error durante el rollback.
Ubisoft no ha proporcionado un comunicado técnico detallado, lo que ha alimentado especulación y desconfianza.
Contexto Crítico: Problemas Previos de Seguridad y Privacidad
Ubisoft ya enfrentaba incidentes previos:
- Julio 2023: intento de robo de 900 GB de datos.
- Abril 2025: queja legal europea por violaciones de GDPR relacionadas con Far Cry Primal.
La vulnerabilidad de infraestructura y la recolección activa de datos muestran una empresa que prioriza monetización sobre seguridad fundamental.
Comparativa Histórica
Comparado con otros hackeos:
- EA Games (2021): robo de 780 GB de código, sin comprometer datos de jugadores.
- Rockstar Games (2022): filtración de clips y código fuente con extorsión.
- Activision Blizzard (2022): campaña de phishing afectando 20.000 empleados.
El incidente de Ubisoft fue operativo grave, pero menos dañino que Rockstar, aunque potencialmente más amplio que EA.
Conclusión
El hackeo de Ubisoft de diciembre 2025 es serio, pero la narrativa en redes sociales ha sido sensacionalizada.
Lo confirmado: la infraestructura de backend fue comprometida mediante MongoBleed, afectando operativamente a Rainbow Six Siege.
Lo incierto: el volumen exacto de código fuente exfiltrado. Ubisoft enfrenta ahora una crisis convergente de seguridad, privacidad y reputación, subrayando la vulnerabilidad incluso de compañías grandes frente a exploits de día cero.