Una intrusión a los sistemas de la plataforma de vehículos compartidos Zoomcar dejó al descubierto información de 8 millones de clientes. La empresa descarta que contraseñas o datos financieros estén en riesgo.
Zoomcar, una empresa de vehículos compartidos con sede en Bengaluru (India), confirmó que vivió una importante brecha de seguridad en la que están involucrados unos 8,4 millones de usuarios. Así lo comunicó la propia compañía en un informe destinado a la Comisión de Bolsa y Valores de Estados Unidos (SEC), así como en una declaración posterior en la que admitió que el acceso no autorizado a sus sistemas ocurrió el pasado 9 de junio de 2025.
De acuerdo con el procedimiento de evaluación iniciado justo cuando la empresa tuvo conocimiento del problema -luego de que un actor malicioso contactara directamente a algunos de sus trabajadores-, el ataque comprometió determinados datos de los usuarios, en particular nombre, número de teléfono, matrícula de vehículos, domicilio y correo electrónico.
Sin embargo, Zoomcar enfatizó que, según el análisis realizado hasta el momento, “no existe evidencia de que se haya expuesto información financiera, contraseñas en texto sin cifrar u otro tipo de información particularmente sensible”, e indicó que, por el contrario, “estos tipos de datos están a salvo y no están en manos de terceros”.
“El 9 de junio de 2025, Zoomcar Holdings, Inc. identificó un incidente de ciberseguridad que implicó un acceso no autorizado a sus sistemas de información,” explicó la empresa en el informe destinado a la SEC.
Este no es el primer incidente de seguridad que enfrenta Zoomcar. La empresa vivió un incidente en 2018 que derivó en una posterior filtración dos años más tarde, y que afectó a más de 3,5 millones de clientes, exponiendo datos sensibles como nombre, correo electrónico, IP, número de móvil y contraseñas encriptadas, las que fueron publicadas en la dark web.
Zoomcar actualmente opera en un centenar de ciudades de la India y proporciona a más de 10 millones de usuarios la oportunidad de rentar vehículos directamente de otros usuarios. La compañía comenzó a cotizar en el mercado de valores de Estados Unidos a finales de 2023, tras llevar a cabo una fusión con la empresa denominada IOAC.
Zoomcar afirmó que actualmente trabaja junto a expertos en seguridad para determinar el alcance de la intrusión y prevenir futuros incidentes. Además, están implementando medidas adicionales de seguridad en toda la plataforma con el objetivo de mitigar cualquier consecuencia tanto para ellos como para sus usuarios.
“Estamos evaluando en profundidad el alcance de lo sucedido y el posible impacto de esta situación”, confirmó la empresa en el comunicado. Por el momento, el tipo de ataque utilizado, así como el autor o grupo detrás de la intrusión aún están bajo investigación. La empresa también subrayó que “en ningún momento se han visto afectadas las operaciones de la plataforma ni el acceso de los usuarios a ella”.