Carnival Corporation confirma filtración de datos en abril que expuso información personal de casi 6 millones de clientes
Carnival Corporation, el mayor operador de cruceros del mundo, ha confirmado que un ataque de ingeniería social en abril expuso los datos personales de casi 6 millones de clientes. La compañía comenzó a enviar cartas de notificación de filtración esta semana a 5.995.277 personas afectadas, cifra extraída de la divulgación obligatoria realizada ante la oficina del Fiscal General de Maine.
La filtración ocurrió el 10 de abril de 2026, cuando un atacante utilizó técnicas de ingeniería social para engañar a un empleado y obtener acceso a una parte de los sistemas de TI de la compañía. El equipo de seguridad de Carnival detectó la actividad no autorizada cuatro días después, el 14 de abril. La empresa confirmó el 22 de abril que se habían exfiltrado datos.
Qué se robó
Carnival no ha especificado completamente las categorías de datos afectadas en sus cartas de notificación más allá de describirlas como información personal. Sin embargo, el servicio de análisis de notificaciones de filtraciones Have I Been Pwned revisó los datos filtrados por ShinyHunters —el grupo de ciberdelincuencia que reivindicó el ataque en abril— y encontró que los registros expuestos contienen nombres, fechas de nacimiento, direcciones de correo electrónico, géneros y ubicaciones geográficas. Los datos también incluyen información del programa de fidelización específicamente relacionada con el programa Mariner Society operado por Holland America Line, una de las nueve marcas de cruceros de Carnival.
ShinyHunters afirmó en abril que había robado 8,7 millones de registros y terabytes de datos corporativos internos. La discrepancia entre los 8,7 millones de registros reclamados y el recuento de notificaciones de Carnival de 5,99 millones puede reflejar que no todos los registros exfiltrados contenían suficiente información identificativa para requerir notificación individual, o que algunos registros pertenecían a empleados o tripulantes en lugar de clientes.
La campaña en escalada de ShinyHunters
ShinyHunters es un grupo de extorsión prolífico que ha estado atacando a organizaciones empresariales a gran escala. Durante el último año, el grupo ha reivindicado filtraciones en cientos de empresas mediante ataques a clientes de Salesforce, ejecutando lo que los investigadores han descrito como la 'campaña Salesloft Drift' y los 'ataques de robo de datos Salesforce Aura'. El enfoque típico del grupo es exigir un rescate por no publicar los datos robados; si las víctimas no pagan, los datos se publican en mercados delictivos.
El FBI emitió un aviso público a mediados de mayo de 2026 aconsejando específicamente a las víctimas de ShinyHunters que no pagaran las demandas de rescate, señalando que el pago no garantiza que los datos no se vendan a otros actores delictivos o se utilicen en futuros intentos de extorsión. No se ha confirmado si Carnival recibió una demanda de rescate o si se realizó algún pago.
Una empresa con antecedentes
Esta es, como mínimo, la cuarta filtración de datos confirmada públicamente de Carnival desde 2020. En marzo de 2020, atacantes accedieron a cuentas de correo electrónico de empleados que contenían información personal de clientes y tripulantes. En agosto de 2020, un ataque de ransomware comprometió datos de clientes y empleados. Un segundo incidente de ransomware en diciembre de 2020 causó una exposición adicional. En junio de 2021, otro compromiso de cuenta de correo electrónico derivó en una notificación de filtración.
La recurrencia plantea preguntas sobre la postura de seguridad de la compañía. Carnival opera una flota de más de 90 barcos, emplea a más de 160.000 personas y reportó 26.000 millones de dólares en ingresos el año pasado. La empresa atiende aproximadamente a 13,5 millones de pasajeros al año en marcas como Carnival Cruise Line, Princess Cruises, Holland America Line, Costa, P&O Cruises, Cunard, AIDA y Seabourn. La magnitud de la operación —y el volumen de datos de pasajeros que posee— la convierte en un objetivo de alto valor para actores de amenazas motivados financieramente.
La ingeniería social como vector de ataque inicial es coherente con una tendencia más amplia en las filtraciones empresariales. En lugar de explotar vulnerabilidades de software, los atacantes manipulan a los empleados para que concedan acceso, una técnica que es efectiva porque evita los controles técnicos y explota el juicio humano bajo presión. La filtración de Carnival del 10 de abril sigue un patrón observado en grandes filtraciones en MGM Resorts, Caesars Entertainment y Uber, todas las cuales comenzaron con ataques de ingeniería social contra el personal de helpdesk o TI.
Qué deben hacer los clientes afectados
Los clientes que reciban una notificación de filtración de Carnival deben tratarla como una carta real: la presentación ante el Fiscal General de Maine confirma la magnitud y legitimidad de la notificación. Los datos expuestos (nombre, correo electrónico, fecha de nacimiento, género, ubicación, estado del programa de fidelización) son valiosos para ataques de phishing dirigidos y fraude de verificación de identidad. Las personas afectadas deben estar alerta ante contactos no solicitados que afirmen ser de Carnival o sus marcas, especialmente solicitudes para hacer clic en enlaces, verificar detalles de cuenta o iniciar sesión a través del correo electrónico.
Se deben cambiar las contraseñas de las cuentas del programa de fidelización, y cualquier contraseña reutilizada en otros servicios debe actualizarse de inmediato. Se debe habilitar la autenticación de dos factores en cualquier cuenta de marca Carnival donde esté disponible. Have I Been Pwned ha indexado la filtración, por lo que los clientes pueden comprobar si su correo electrónico aparece en los datos filtrados en haveibeenpwned.com.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source