Carnival Corporation confirma filtración de datos en abril que expuso información personal de casi 6 millones de clientes
Carnival Corporation, la mayor naviera de cruceros del mundo, ha confirmado que un ataque de ingeniería social en abril expuso los datos personales de casi 6 millones de clientes. La empresa comenzó a enviar cartas de notificación de brecha esta semana a 5.995.277 personas afectadas, una cifra extraída de la divulgación obligatoria presentada ante la oficina del Fiscal General de Maine.
La brecha ocurrió el 10 de abril de 2026, cuando un atacante utilizó técnicas de ingeniería social para engañar a un empleado y obtener acceso a una parte de los sistemas informáticos de la compañía. El equipo de seguridad de Carnival detectó la actividad no autorizada cuatro días después, el 14 de abril. La empresa confirmó el 22 de abril que se habían extraído datos.
Qué fue robado
Carnival no ha especificado completamente las categorías de datos afectadas en sus cartas de notificación, más allá de describirlas como información personal. Sin embargo, el servicio de análisis de notificaciones de brechas Have I Been Pwned revisó los datos filtrados por ShinyHunters —el grupo de ciberdelincuencia que reivindicó el ataque en abril— y encontró que los registros expuestos contienen nombres, fechas de nacimiento, direcciones de correo electrónico, géneros y ubicaciones geográficas. Los datos también incluyen información del programa de fidelización específicamente relacionada con el programa Mariner Society operado por Holland America Line, una de las nueve marcas de cruceros de Carnival.
ShinyHunters afirmó en abril que había robado 8,7 millones de registros y terabytes de datos corporativos internos. La discrepancia entre los 8,7 millones de registros reivindicados y el conteo de notificaciones de Carnival de 5,99 millones puede reflejar que no todos los registros extraídos contenían suficiente información identificativa para requerir notificación individual, o que algunos registros pertenecían a empleados o tripulantes en lugar de clientes.
La campaña creciente de ShinyHunters
ShinyHunters es un grupo de extorsión prolífico que ha estado atacando organizaciones empresariales a gran escala. Durante el último año, el grupo ha reivindicado brechas en cientos de empresas a través de ataques a clientes de Salesforce, ejecutando lo que los investigadores han descrito como la 'campaña Salesloft Drift' y los 'ataques de robo de datos Salesforce Aura'. El enfoque típico del grupo es exigir un rescate para no publicar los datos robados; si las víctimas no pagan, los datos se publican en mercados criminales.
El FBI emitió un aviso público a mediados de mayo de 2026 advirtiendo específicamente a las víctimas de ShinyHunters que no pagaran las demandas de rescate, señalando que el pago no garantiza que los datos no se vendan a otros actores criminales o se utilicen en futuros intentos de extorsión. No se ha confirmado si Carnival recibió una demanda de rescate o si se realizó algún pago.
Una empresa con un patrón
Esta es al menos la cuarta brecha de datos confirmada públicamente de Carnival desde 2020. En marzo de 2020, atacantes accedieron a cuentas de correo electrónico de empleados que contenían información personal de clientes y tripulantes. En agosto de 2020, un ataque de ransomware comprometió datos de clientes y empleados. Un segundo incidente de ransomware en diciembre de 2020 causó una exposición adicional. En junio de 2021, otra cuenta de correo comprometida llevó a una notificación de brecha.
La recurrencia plantea preguntas sobre la postura de seguridad de la empresa. Carnival opera una flota de más de 90 barcos, emplea a más de 160.000 personas y reportó 26 mil millones de dólares en ingresos el año pasado. La empresa atiende aproximadamente a 13,5 millones de huéspedes anualmente en marcas como Carnival Cruise Line, Princess Cruises, Holland America Line, Costa, P&O Cruises, Cunard, AIDA y Seabourn. La escala de la operación —y el volumen de datos de huéspedes que posee— la convierte en un objetivo de alto valor para actores de amenazas motivados financieramente.
La ingeniería social como vector de ataque inicial es consistente con una tendencia más amplia en las brechas empresariales. En lugar de explotar vulnerabilidades de software, los atacantes manipulan a los empleados para que otorguen acceso, una técnica efectiva porque elude los controles técnicos y explota el juicio humano bajo presión. La brecha del 10 de abril de Carnival sigue un patrón observado en grandes brechas en MGM Resorts, Caesars Entertainment y Uber, todas las cuales comenzaron con ataques de ingeniería social contra el personal de helpdesk o TI.
Qué deben hacer los clientes afectados
Los clientes que reciban una notificación de brecha de Carnival deben tratarla como una carta real: la presentación ante la AG de Maine confirma la escala y legitimidad de la notificación. Los datos expuestos (nombre, correo electrónico, fecha de nacimiento, género, ubicación, estado del programa de fidelización) son valiosos para ataques de phishing dirigidos y fraude de verificación de identidad. Las personas afectadas deben estar alertas ante contactos no solicitados que afirmen ser de Carnival o sus marcas, especialmente solicitudes para hacer clic en enlaces, verificar detalles de cuenta o iniciar sesión a través de correo electrónico.
Las contraseñas de las cuentas del programa de fidelización deben cambiarse, y cualquier contraseña reutilizada en otros servicios debe actualizarse de inmediato. Se debe habilitar la autenticación de dos factores en cualquier cuenta de marca de Carnival donde esté disponible. Have I Been Pwned ha indexado la brecha, por lo que los clientes pueden verificar si su correo electrónico aparece en los datos filtrados en haveibeenpwned.com.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source