Un nuevo ciberataque vuelve a poner en el punto de mira a Carnival, uno de los mayores grupos de cruceros del mundo. La compañía ha confirmado que un atacante consiguió acceder a parte de su infraestructura tecnológica tras comprometer la cuenta de un empleado, lo que permitió la extracción de información personal almacenada en sus sistemas.
El incidente afecta a cerca de seis millones de personas y se convierte en una de las mayores brechas de seguridad registradas en la industria turística en los últimos años.
La intrusión fue detectada durante el pasado mes de abril y obligó a la naviera a activar sus protocolos de respuesta ante incidentes. Posteriormente, la empresa confirmó que el atacante logró copiar diversos datos personales pertenecientes a clientes y usuarios vinculados a diferentes marcas del grupo.
Qué información ha quedado expuesta
La documentación presentada por la compañía ante las autoridades estadounidenses revela que entre los datos comprometidos figuran nombres completos, direcciones postales, correos electrónicos, números de teléfono y fechas de nacimiento. Sin embargo, la parte más sensible de la filtración corresponde a documentos oficiales de identificación.
Entre la información sustraída aparecen números de pasaporte y licencias de conducir, lo que incrementa significativamente los riesgos para los afectados.
Este tipo de datos puede ser utilizado por delincuentes para cometer fraudes de identidad, realizar campañas de phishing altamente personalizadas o intentar acceder a otros servicios digitales mediante técnicas de ingeniería social.
Por el momento, Carnival no ha detallado cuántos pasajeros de cada país o mercado se han visto afectados ni qué porcentaje de los datos robados corresponde a cada una de las compañías que forman parte del grupo.
Un ataque relacionado con intentos de extorsión
El incidente se produjo pocas semanas después de que el grupo de ciberdelincuentes conocido como ShinyHunters intentara extorsionar a la empresa. Esta organización criminal es conocida por su participación en múltiples filtraciones de datos a gran escala que han afectado a empresas internacionales durante los últimos años.
Según la información difundida por los propios atacantes, llegaron a publicar muestras de los datos obtenidos y aseguraron haber accedido a cerca de 8,7 millones de registros. No obstante, la cifra reconocida oficialmente por la compañía se sitúa en torno a los seis millones de personas afectadas.
La diferencia entre ambas cantidades no resulta extraña en este tipo de incidentes, ya que los grupos criminales suelen contabilizar registros duplicados o información que posteriormente no puede verificarse durante las investigaciones forenses.
Una compañía con presencia habitual en España
La magnitud de la brecha adquiere una relevancia especial debido al peso que Carnival tiene en el mercado internacional de cruceros. El grupo opera más de 90 barcos repartidos por todo el mundo y controla algunas de las marcas más conocidas del sector.
En España, varias de sus compañías mantienen una actividad constante. Costa Cruceros y Princess realizan salidas regulares desde Barcelona, mientras que Holland America Line y Cunard utilizan con frecuencia puertos españoles para embarques, desembarques y escalas.
Además de Barcelona, los itinerarios de estas navieras incluyen destinos como Valencia, Málaga, Cádiz, Vigo, Cartagena o Alicante. Esta amplia presencia convierte a España en uno de los mercados europeos más relevantes para el grupo.
Carnival acumula varios incidentes de seguridad
La reciente filtración no constituye un caso único dentro del historial de la compañía. Durante los últimos años, Carnival ha tenido que afrontar varios problemas relacionados con la protección de datos y la seguridad informática.
En 2019 sufrió una brecha que afectó a aproximadamente 180.000 clientes y empleados. A raíz de aquel incidente, las autoridades impusieron una sanción económica de 1,25 millones de dólares por las deficiencias detectadas en la gestión de la seguridad.
Posteriormente, en 2021, la empresa notificó otro incidente vinculado a cuentas de correo electrónico corporativas. Aunque aquel episodio tuvo un alcance mucho más reducido, volvió a poner sobre la mesa dos cosas.
Por un lado, la creciente presión que sufren las grandes compañías del sector turístico frente a las amenazas digitales. Y, por otro, si las decisiones en materia de ciberseguridad que está tomando Carnival son las más adecuadas.
El reto de proteger millones de datos personales
El caso de Carnival vuelve a demostrar la enorme responsabilidad que asumen las empresas que gestionan información sensible de millones de viajeros. Las navieras almacenan habitualmente documentos de identificación, datos de contacto, información de reservas y detalles relacionados con los desplazamientos internacionales de sus clientes.
La creciente sofisticación de los grupos especializados en ransomware y robo de información obliga a las organizaciones a reforzar continuamente sus sistemas de protección.
Los expertos consideran que los ataques dirigidos a empresas del sector turístico seguirán aumentando debido al elevado valor que tienen los datos personales en los mercados clandestinos.
Mientras continúan las investigaciones para determinar el alcance exacto del incidente, millones de afectados permanecen a la espera de conocer si sus documentos de identificación podrían acabar siendo utilizados en actividades fraudulentas.
