Se publican los datos de 6 millones de pasajeros de cruceros Carnival. Crédito: Mulevich – Shutterstock
Carnival Cruise Line ha confirmado un ciberataque en abril que permitió a actores no autorizados acceder a los números de pasaporte y datos personales de casi seis millones de pasajeros. Los piratas informáticos confiaron en la ingeniería social para engañar a un empleado en lugar de explotar fallas técnicas. La compañía detectó la intrusión el 14 de abril y actuó rápidamente para limitar daños mayores mientras contrataba expertos externos.
Detalles del ciberataque de abril
Carnival afirmó que los intrusos sólo alcanzaron una sección limitada de sus sistemas. La información a la que se accedió incluyó nombres, domicilios, direcciones de correo electrónico, números de teléfono, fechas de nacimiento e identificaciones emitidas por el gobierno, como permisos de conducir y pasaportes. Las notificaciones a los pasajeros afectados comenzaron a finales de mayo. Carnival ahora ofrece dos años de monitoreo de crédito y protección de identidad gratuitos a través de TransUnion.
Escala del ataque y datos expuestos
Una presentación ante el Fiscal General de Maine reveló la cifra exacta de 5.995.277 personas potencialmente afectadas. Carnival ha expresado su profundo pesar por el incidente y cualquier preocupación que haya podido causar. El operador añadió que ha introducido controles de seguridad adicionales y herramientas de seguimiento mejoradas. También se comprometió a llevar a cabo revisiones continuas para fortalecer sus programas de seguridad.
Peligros para quienes tienen información de pasaporte comprometida
Las personas cuyos números de pasaporte ahora se encuentran junto con otros datos personales a la vista y disponibles para la venta en el mercado negro, ahora enfrentan una mayor probabilidad de robo de identidad y fraude. Los delincuentes pueden combinar los datos para abrir cuentas bancarias o tarjetas de crédito a nombre de otra persona. También pueden presentar declaraciones de impuestos falsas o solicitar beneficios gubernamentales. Los datos del pasaporte resultan especialmente útiles para crear documentos de viaje falsos o intentar fraude de visas.
A menudo se producen pérdidas financieras cuando los estafadores realizan compras no autorizadas o dañan los puntajes crediticios a través de nuevas cuentas abiertas sin permiso. Las víctimas a menudo pueden pasar meses o años disputando los cargos y restaurando sus registros. La información también se puede utilizar detrás de estafas muy específicas. Los mensajes que mencionan un crucero reciente o un historial de viajes específico parecen más creíbles y engañan a las personas para que revelen más detalles o hagan clic en enlaces maliciosos.
Los efectos a más largo plazo incluyen daños duraderos a la calificación crediticia que pueden afectar las hipotecas o los alquileres. Muchos manifiestan ansiedad y frustración después de tratar con bancos, agencias de crédito y oficinas de pasaportes. Los datos pueden circular en foros criminales durante años, por lo que la amenaza no desaparece tan rápidamente. Un número de pasaporte por sí solo tiene un valor limitado, pero el conjunto completo de detalles de esta violación crea un paquete poderoso para el uso indebido.
Acciones inmediatas para las personas afectadas
Carnival ya ha comenzado a contactar a los pasajeros y ofrece seguimiento de crédito gratuito, aunque muchos comentaristas en las redes sociales se burlan de esto. Los expertos aconsejan congelar el crédito de las principales agencias para bloquear nuevas cuentas. Configurar alertas de fraude agrega otra capa de protección.
Las personas deben estar atentas a los extractos bancarios, los informes crediticios y las bandejas de entrada de correo electrónico para detectar actividades inusuales.
Aquellos que planean viajar pronto pueden considerar solicitar un pasaporte de reemplazo si se sienten preocupados, aunque no siempre es necesario reemplazarlo a menos que aparezca un claro uso indebido.
Compensación por incumplimiento del RGPD: la guía esencial para su reclamación
Los problemas de seguridad anteriores del Carnaval
Carnival se ha ocupado de varios incidentes cibernéticos anteriores. En 2019, personas no autorizadas llegaron a sistemas vinculados a múltiples marcas y expusieron datos de clientes y empleados. En 2020 siguió un ataque de ransomware que cifró archivos y robó más registros, incluidos números de pasaporte en algunos casos. Los especialistas en seguridad de datos han criticado al operador por no haber evitado repetidas violaciones a pesar de las advertencias anteriores. Un consultor señaló que el último caso muestra que Carnival no ha abordado las deficiencias en la capacitación de los empleados y los controles de acceso.
Incidentes de datos comparables a gran escala
En 2018, Marriott reveló que los piratas informáticos habían accedido a registros pertenecientes a hasta 500 millones de huéspedes, incluidos los números de pasaporte. La violación expuso detalles de identidad similares y generó preocupaciones paralelas sobre fraude y uso indebido de documentos de viaje. El incidente de Equifax de 2017 comprometió la información personal de 147 millones de personas, incluidos números de seguro social y fechas de nacimiento. Ambos casos dieron lugar a años de ofertas de seguimiento y acciones legales mientras las víctimas enfrentaban riesgos de robo de identidad.