La compañía ferroviaria Eurail confirmó que un acceso no autorizado a sus sistemas comprometió datos personales de más de 300 mil usuarios, incluyendo información sensible en algunos casos, lo que activó investigaciones y advertencias sobre riesgos de fraude e identidad digital.
Tras una extensa investigación, la empresa ferroviaria Eurail B. V. confirmó esta semana que la información de 308.777 usuarios fue vulnerada en un incidente ocurrido en diciembre pasado, luego de que un atacante accediera sin autorización a sus sistemas y bases de datos de clientes. La compañía, responsable de la comercialización de pases Interrail y Eurail en Europa, reconoció la brecha y señaló que el evento continúa bajo investigación mientras se evalúa su impacto total.
En un comunicado oficial emitido con posterioridad a la confirmación del incidente, la empresa reconoció que “Eurail B.V. ha experimentado una brecha de seguridad en nuestros sistemas que resultó en acceso no autorizado a datos de clientes”.
El incidente, detectado en enero de 2026, habría permitido a actores externos acceder a información personal como nombres, datos de contacto y, en algunos casos, información más sensible como documentos de identidad (pasaportes) o datos financieros asociados a programas como DiscoverEU.
La compañía también explicó que, tras identificar el problema, inició acciones inmediatas para contenerlo. Según su declaración “tras el descubrimiento, comenzamos inmediatamente a trabajar para asegurar nuestros sistemas e iniciamos una investigación con el apoyo de especialistas externos en ciberseguridad y asesores legales”.
Además, Eurail confirmó en marzo pasado, que el acceso ilícito se produjo a través de sus sistemas internos. En otra comunicación oficial, detalló que “lamentablemente, Eurail identificó acceso externo a uno de nuestros sistemas que resultó en acceso no autorizado a datos de clientes”.
Las investigaciones apuntan a que los atacantes lograron acceder a bases de datos que contienen información relevante para la operación de servicios ferroviarios internacionales, lo que incrementa el riesgo de uso indebido de datos para campañas de phishing, fraude o suplantación de identidad.
En febrero, un actor de amenaza reclamo la autoría del ataque, indicando que había obtenido 1,3 TB de datos de la compañía. De acuerdo con la versión del atacante, Eurail habría sostenido conversaciones para negociar un rescate, pero fueron suspendidas por lo que amenazó con hacer pública la información. Además, señaló que los datos robados son de millones de clientes, aumentando considerablemente la cifra reconocida oficialmente por la empresa.
Durante ese mes, también hubo varios reportes de prensa que afirmaron que los datos robados habían sido puestos a la venta, con al menos un conjunto de información publicado en Telegram por los propios actores maliciosos.
Pese a lo anterior, aún no hay confirmación oficial de uso malicioso de la información, aunque los expertos advierten que la naturaleza de los datos expuestos los convierte en un objetivo atractivo para el cibercrimen.
En días pasados, se confirmo por diferentes medios de los Estados Unidos que la empresa había comenzado a notificar a las personas afectadas en ese país, revelando ejemplos de las cartas enviadas a las víctimas en lugares como Regón, Texas o California.
El incidente también ha generado preocupación entre autoridades europeas y organismos vinculados a la protección de datos, dado que Eurail opera en coordinación con múltiples actores del ecosistema ferroviario y programas financiados por la Unión Europea. En este contexto, la compañía aseguró que se encuentra notificando a los usuarios afectados y colaborando con las autoridades regulatorias correspondientes.
Mientras continúa la investigación, la organización reiteró su compromiso con la seguridad de la información y la transparencia frente a sus clientes, en un escenario donde las brechas de datos en servicios digitales siguen en aumento y afectan a sectores cada vez más críticos.