Empresas japonesas de distintos sectores, entre ellas el fabricante tecnológico Toshiba, la cadena minorista MUJI y la editorial digital Hobonichi, informaron la aparición de pantallas de autenticación no previstas en algunas de sus páginas web debido a referencias al dominio Polyfill.io. Las organizaciones eliminaron el componente afectado y recomendaron medidas preventivas a los usuarios.
Varias empresas japonesas reportaron durante los primeros días de junio la aparición de ventanas de autenticación inesperadas en sus sitios web. Entre las afectadas se encuentran el conglomerado tecnológico e industrial Toshiba, la cadena internacional de artículos para el hogar, vestuario y consumo MUJI, y Hobonichi, empresa dedicada a la publicación de contenidos digitales y productos editoriales. Según los avisos publicados por las compañías, el comportamiento estuvo relacionado con el dominio Polyfill.io utilizado por servicios externos presentes en determinadas páginas.
MUJI informó el 2 de junio que algunas páginas de su portal podían mostrar una pantalla de autenticación sospechosa generada a través de Polyfill.io. La empresa comunicó que suspendió inmediatamente el uso del servicio involucrado y completó las medidas correctivas el 3 de junio. También recomendó a los usuarios que hubieran ingresado credenciales cambiar sus contraseñas. En su comunicado señaló que “hasta el momento, no hemos confirmado ningún acceso no autorizado a este sitio ni ninguna filtración de datos, pero le pedimos que considere tomar medidas para garantizar su seguridad”.
Por su parte, Toshiba advirtió que ciertas secciones de su sitio web podían mostrar una ventana de inicio de sesión no prevista. La compañía pidió a los visitantes no introducir información en dichas pantallas mientras se realizaban las tareas de mitigación. En el aviso publicado el 2 de junio indicó que “estamos trabajando para eliminar esta pantalla, pero si la ve, seleccione «Cancelar» sin ingresar ninguna información”. Posteriormente, actualizó la comunicación para informar que el problema había sido resuelto y que la ventana ya no se mostraba.
Hobonichi confirmó un incidente similar en páginas que utilizaban el dominio Polyfill.io. La empresa explicó que implementó las medidas necesarias para solucionar el problema y concluyó la remediación el 3 de junio. Además, instó a los usuarios que hubieran introducido credenciales a modificar sus contraseñas, incluso en otros servicios donde utilizaran la misma información de acceso.
Según medios especializados, otras empresas japonesas también notificaron el mismo comportamiento. Entre ellas figuran Zojirushi Corporation, fabricante de electrodomésticos; FiNC Technologies, empresa de servicios digitales relacionados con salud y bienestar; Ishiyaku Publishers, editorial especializada en contenidos médicos; y Recruit Management Solutions, firma dedicada a servicios de recursos humanos y gestión de talento. Todas comunicaron la eliminación o suspensión de referencias a Polyfill.io y señalaron que no habían detectado accesos no autorizados ni filtraciones de datos al momento de sus anuncios.
Las publicaciones especializadas indican que el problema estaba asociado a respuestas HTTP 401 emitidas por Polyfill.io, las cuales provocaban que los navegadores mostraran cuadros de autenticación que podían parecer legítimos para los usuarios. Los reportes señalan que el comportamiento afectó a sitios que aún mantenían referencias al dominio dentro de su código, pese a que diversas recomendaciones de seguridad habían instado previamente a retirarlo.
Polyfill.io fue ampliamente utilizado como servicio de compatibilidad para navegadores antiguos. Medios especializados recordaron que el dominio estuvo involucrado en incidentes de seguridad durante 2024 y que posteriormente varios desarrolladores recomendaron eliminar su uso. De acuerdo con los reportes más recientes, el dominio volvió a responder a solicitudes web a finales de mayo de 2026, lo que coincidió con la aparición de las ventanas de autenticación observadas en distintos sitios japoneses.
Hasta la fecha de los comunicados, ninguna de las empresas afectadas había informado evidencia de compromiso directo de sus sitios web o robo confirmado de credenciales. No obstante, Hobonichi recomendó a los usuarios afectados “cambiar sus contraseñas inmediatamente, incluso para otros servicios que utilicen la misma información de autenticación”, una medida preventiva que también fue respaldada por las demás entidades involucradas.