La empresa de pases de tren europeos Eurail, confirmó en una reciente actualización que la información personal sustraída en un ciberataque ocurrido a principios de este año se filtró en mercados clandestinos, lo que eleva el riesgo de fraude y pone en alerta a los clientes afectados.
La compañía de los Países Bajos Eurail B.V., que gestiona los tickets y pases de tren que permiten viajar por más de 250 mil kilómetros de redes ferroviarias europeas, confirmó que los datos personales de sus clientes robados en un incidente de seguridad que se remontaría a principios de enero de este año han sido ofrecidos para su compra en la dark web, con al menos un conjunto de información publicado en Telegram por los propios actores maliciosos.
Eurail detectó en enero pasado el acceso no autorizado a sus sistemas y, tras asegurar las plataformas afectadas y comenzar una investigación forense, notificó el hallazgo de que los datos exfiltrados estaban siendo comercializados en foros y mercados ocultos de la red. La empresa logró identificar la presencia de un muestrario de los datos robados en Telegram, lo que confirmó que los atacantes no solo accedieron a la información, sino que ahora buscan monetizarla.
Según los informes, el tipo de información posiblemente comprometida incluye nombres completos de los viajeros, números de pasaporte, números de documento de identidad, referencias bancarias como IBAN, direcciones de correo electrónico, números de teléfono e incluso datos relacionados con la salud. Aunque Eurail aseguró previamente que no todos los campos estaban confirmados ni se había identificado el número total de afectados, la aparición de estos datos en mercados clandestinos sugiere que la escala del impacto podría ser considerable.
Lo datos de números de identificación, pasaportes e IBAN son especialmente valiosos para actividades ilícitas como el robo de identidad, fraude financiero o campañas de ingeniería social altamente dirigidas. Las fuentes señalan que los clientes cuyos datos hayan sido comprometidos podrían enfrentar riesgos de phishing, intentos de acceso no autorizado a cuentas bancarias o suplantación de identidad a través de comunicaciones engañosas.
Eurail ha informado a las autoridades de protección de datos bajo el régimen del GDPR de la Unión Europea y sigue trabajando con expertos en ciberseguridad para clarificar el alcance de la brecha y las posibles repercusiones. La empresa instó a sus clientes a cambiar sus contraseñas, evitar reutilizar credenciales y estar alerta ante comunicaciones sospechosas, mientras continúa la investigación para identificar el vector de ataque y quienes están detrás de éste.