Carnival confirma una filtración masiva: exponen pasaportes y datos personales de casi seis millones de viajeros
La intrusión se produjo tras comprometer la cuenta de un empleado y afecta a información especialmente sensible utilizada habitualmente en fraudes y suplantaciones de identidad.
- Carnival ha confirmado una filtración que afecta a cerca de seis millones de personas.
- Los atacantes accedieron a la infraestructura mediante una cuenta comprometida.
- Entre los datos robados hay pasaportes, direcciones y fechas de nacimiento.
- ShinyHunters había intentado extorsionar previamente a la compañía.
- El incidente vuelve a poner el foco en la seguridad del sector turístico.
Una cuenta comprometida ha sido suficiente para desencadenar una de las mayores brechas de seguridad registradas recientemente en la industria turística. Carnival Corporation & plc ha confirmado que un atacante consiguió acceder a parte de sus sistemas internos y extraer información personal perteneciente a aproximadamente seis millones de viajeros.
La compañía detectó la intrusión durante el pasado mes de abril y activó sus protocolos de respuesta. Sin embargo, la investigación posterior confirmó que los ciberdelincuentes lograron acceder a datos de clientes vinculados a varias de las navieras que forman parte del grupo.
Qué información ha sido robada
Los documentos remitidos a las autoridades estadounidenses muestran que la información comprometida incluye datos personales utilizados habitualmente para verificar identidades y realizar gestiones administrativas.
Entre los datos expuestos figuran:
- Nombres completos.
- Direcciones postales.
- Direcciones de correo electrónico.
- Números de teléfono.
- Fechas de nacimiento.
Sin embargo, la información más delicada afecta a documentos oficiales de identificación.
La empresa ha confirmado que los atacantes obtuvieron números de pasaporte y licencias de conducir, datos especialmente valiosos para campañas de fraude, robo de identidad y operaciones avanzadas de ingeniería social.
Por qué es importante: un número de pasaporte tiene mucho más valor para los ciberdelincuentes que una dirección de correo electrónico. Este tipo de información puede utilizarse para crear identidades falsas, abrir cuentas fraudulentas o realizar ataques personalizados contra las víctimas.
La sombra de ShinyHunters sobre el incidente
La filtración se produce pocas semanas después de que el grupo de ciberdelincuentes ShinyHunters intentara extorsionar a Carnival asegurando haber accedido a millones de registros internos.
Los atacantes afirmaron haber obtenido cerca de 8,7 millones de registros y publicaron muestras de los datos supuestamente robados como prueba de acceso.
No obstante, Carnival ha reconocido oficialmente una cifra inferior, situada en torno a los seis millones de personas afectadas.
Este tipo de diferencias son relativamente habituales en investigaciones de ciberseguridad, ya que los grupos criminales suelen contabilizar registros duplicados o información que posteriormente no supera las verificaciones forenses realizadas por las empresas afectadas.
Por qué afecta especialmente a España
Aunque la compañía no ha detallado cuántos afectados corresponden a cada país, el impacto potencial en España es significativo debido a la presencia de varias marcas del grupo en el mercado nacional.
Navieras como Costa Cruceros y Princess Cruises operan regularmente desde Barcelona, mientras que otras compañías del grupo mantienen una actividad constante en puertos españoles.
Entre los principales puntos de operación destacan:
- Barcelona.
- Valencia.
- Málaga.
- Cádiz.
- Vigo.
- Cartagena.
- Alicante.
Esto implica que miles de viajeros españoles podrían encontrarse entre las personas cuyos datos han sido comprometidos.
Un problema recurrente para Carnival
La actual brecha no representa un caso aislado dentro del historial de seguridad de la compañía.
En 2019, Carnival sufrió otro incidente que afectó a cerca de 180.000 clientes y empleados. La investigación posterior derivó en una multa de 1,25 millones de dólares debido a deficiencias en las medidas de protección implementadas.
Posteriormente, en 2021, la empresa volvió a informar de un incidente relacionado con cuentas corporativas comprometidas.
Aunque aquel ataque tuvo un alcance más limitado, volvió a generar dudas sobre la capacidad del grupo para proteger la enorme cantidad de información sensible que gestiona diariamente.
El sector turístico se ha convertido en un objetivo prioritario
Más allá de Carnival, este incidente refleja una tendencia que preocupa cada vez más a los expertos en ciberseguridad.
Las compañías turísticas almacenan grandes volúmenes de información extremadamente valiosa para los atacantes: documentos de identidad, reservas, itinerarios, datos de contacto y movimientos internacionales de millones de personas.
La combinación de alto volumen de datos y gran visibilidad internacional convierte a aerolíneas, hoteles y navieras en objetivos especialmente atractivos para grupos especializados en extorsión y robo de información.
La filtración de Carnival demuestra que el valor económico de los datos personales continúa creciendo en los mercados clandestinos. Y también evidencia que una única cuenta comprometida puede ser suficiente para exponer información sensible de millones de usuarios en todo el mundo.
