Menudo revés se ha llevado el sector turístico con la confirmación oficial de un incidente de ciberseguridad que ha dejado tiritando la privacidad de casi seis millones de pasajeros en todo el planeta. La corporación Carnival, que es el auténtico transatlántico de las vacaciones en el mar, ha tenido que dar la cara ante las autoridades para reconocer que una brecha en sus sistemas ha permitido el acceso a información extremadamente sensible de sus clientes.
Todo este lío empezó, por lo visto, cuando un atacante consiguió engañar a un trabajador de la empresa mediante técnicas de ingeniería social. Al hacerse con el control de una sola cuenta de empleado, el intruso logró colarse en los sistemas internos el pasado mes de abril, moviéndose a sus anchas por segmentos restringidos de la red corporativa. No fue hasta unos días después cuando los equipos de seguridad se percataron de que alguien estaba copiando archivos de forma masiva antes de poder cortar el grifo del acceso no autorizado.
La magnitud del desastre es considerable porque Carnival no es solo una marca, sino un gigante que engloba a firmas tan conocidas como Princess Cruises, Holland America Line, Seabourn o la popular Costa Cruceros. Según los informes forenses, los piratas informáticos han puesto sus manos en nombres completos, direcciones residenciales, números de teléfono y correos electrónicos. Pero la cosa no queda ahí, ya que lo que realmente quita el sueño a los expertos es que también se han filtrado fechas de nacimiento y documentos oficiales de identidad.
Los atacantes han conseguido exfiltrar detalles de pasaportes y licencias de conducir, una información que en el mercado negro vale oro para cometer fraudes de identidad. En el caso específico de Holland America Line, se estima que unos 7,5 millones de registros del programa de fidelidad Mariner Society fueron recolectados, lo que demuestra que los delincuentes iban directos a por los datos de los viajeros más recurrentes.
El rastro de ShinyHunters y el impacto en España
Aunque la empresa ha preferido ser cauta al principio, el grupo de extorsión ShinyHunters no ha tardado en sacar pecho y atribuirse el ataque. Este sindicato criminal, conocido por ser parte de la llamada «tríada del mal», llegó a publicar una muestra de 8,7 millones de registros en la dark web después de que, aparentemente, Carnival se negara a pasar por el aro y pagar el rescate exigido. Esta banda ya tiene experiencia previa en dar golpes a grandes corporaciones, utilizando vulnerabilidades en entornos en la nube para sacar tajada.
Si nos centramos en lo que nos toca de cerca, la preocupación en el mercado español es evidente. Marcas del grupo como Costa Cruceros o Princess tienen una presencia constante en puertos españoles como Barcelona, Valencia, Málaga o Palma de Mallorca. Al ser barcos que operan durante casi todo el año en nuestras costas, es muy probable que una parte significativa de los afectados sean ciudadanos europeos que embarcaron o hicieron escala en ciudades como Vigo, Cádiz o Alicante, lo que obliga a extremar las precauciones ante posibles campañas de phishing.
Antecedentes y medidas de protección
No es la primera vez que Carnival se va a pique en temas de seguridad digital. Ya en 2019 sufrieron un percance que afectó a 180.000 personas y les costó una multa de 1,25 millones de dólares por gestionar mal el asunto. Tras este nuevo y más grave incidente, la naviera ha prometido reforzar sus protocolos de autenticación y está ofreciendo a los perjudicados una suscripción gratuita de dos años a servicios de monitorización de crédito para detectar cualquier movimiento sospechoso en sus cuentas.
Ante este panorama, lo más sensato para quienes hayan viajado con estas compañías es vigilar con lupa sus extractos bancarios y desconfiar de correos electrónicos extraños que soliciten claves o datos personales. La industria del turismo maneja un volumen de información personal brutal y este caso deja claro que, a veces, la seguridad no va a la misma velocidad que el negocio, dejando a los viajeros en una situación de vulnerabilidad que tardará tiempo en solucionarse por completo.