Carnival Corporation, el mayor operador de cruceros del mundo informó una filtración de datos que comprometió casi 6 millones de registros, esto luego que atacantes utilizaran técnicas de ingeniería social para acceder a la cuenta de un empleado. El incidente fue atribuido al grupo cibercriminal ShinyHunters.
Carnival Corporation, uno de los mayores operadores de cruceros del mundo, confirmó una filtración de datos que afectó a 5.995.277 personas luego de que atacantes accedieran a sistemas internos mediante una operación de ingeniería social dirigida a un empleado de la compañía. La empresa comenzó el proceso de notificación a los afectados el miércoles 27 de mayo, según documentos presentados ante la oficina del fiscal general del estado de Maine, en los Estados Unidos.
La compañía indicó que el incidente fue detectado el 14 de abril de 2026, cuando su equipo de seguridad identificó actividad no autorizada relacionada con una cuenta corporativa. En la notificación enviada a los afectados, Carnival explicó en cartas de notificación enviada a los afectados que “un atacante no autorizado utilizó técnicas de ingeniería social para engañar a un empleado y obtener acceso a una parte limitada del sistema informático de la empresa”.
Tras detectar la intrusión, la empresa aseguró que bloqueó el acceso no autorizado y comenzó una investigación junto a especialistas externos en ciberseguridad. Posteriormente, determinó que los atacantes copiaron archivos con información personal perteneciente a clientes. Según la compañía, los datos potencialmente comprometidos pueden incluir nombres, direcciones, correos electrónicos, números telefónicos, fechas de nacimiento y documentos emitidos por gobiernos, como pasaportes o licencias de conducir.
El grupo cibercriminal ShinyHunters se atribuyó públicamente el ataque semanas antes de la confirmación oficial de Carnival. De acuerdo con diversos reportes citados en las publicaciones, los atacantes afirmaron haber obtenido 8,7 millones de registros y varios terabytes de información corporativa. El servicio Have I Been Pwned, que revisó parte de los datos filtrados, señaló que la información estaba relacionada con el programa de fidelización Mariner Society, administrado por Holland America, una de las marcas de Carnival.
Entre los datos expuestos se encontraban nombres, fechas de nacimiento, direcciones de correo electrónico, género y detalles asociados al estado de membresía de clientes. Have I Been Pwned indicó que los datos contenían campos que indicaban que estaban relacionados con el programa de fidelización Mariner Society.
Carnival informó que ofrecerá dos años de monitoreo crediticio gratuito mediante TransUnion a clientes elegibles en Estados Unidos. Además, sostuvo que reforzó sus controles de seguridad y monitoreo tras el incidente. La empresa señaló que “continuará avanzando en sus controles de seguridad informática y privacidad de datos para enfrentar amenazas en evolución”.
El incidente se suma a otros eventos de seguridad reportados anteriormente por Carnival. Según los antecedentes mencionados en las publicaciones, la empresa ya había divulgado brechas de datos y ataques de ransomware ocurridos entre 2019 y 2021, en los que también se vieron comprometidos datos personales y financieros de clientes y empleados.