Un ciberincidente en la compañía que gestiona los pases Eurail e Interrail ha expuesto información sensible de los usuarios, incluidos datos de identificación, contactos y, en algunos casos, pasaportes, cuentas bancarias y datos de salud, lo que eleva los riesgos de fraude y suplantación de identidad.
La empresa Eurail B.V., dedicada a la gestión y venta de los tickets de tren Eurail e Interrail y con sede en los Países Bajos, confirmó a principios de este mes que experimentó un grave incidente de seguridad informática que permitió el acceso no autorizado de terceros a sus sistemas y la posible exfiltración de datos de clientes, tanto de quienes compraron tickets directamente como a participantes del programa europeo de beneficios para jóvenes DiscoverEU.
Según la información oficial divulgada por la compañía en un comunicado, el hallazgo del ataque llevó de inmediato al aseguramiento de los sistemas afectados y al inicio de una investigación exhaustiva con expertos externos en ciberseguridad y asesores legales para determinar el alcance real de la brecha. A su vez, Eurail reportó el incidente ante las autoridades de protección de datos en cumplimiento con las normas de la Unión Europea (GDPR) y comenzó a notificar directamente a los clientes que podrían haber sido impactados.
El alcance de los datos comprometidos aún se está clarificando, pero las primeras indagaciones apuntan a que los atacantes pudieron acceder a información personal identificable que incluye nombres completos, fechas de nacimiento, direcciones de correo electrónico, domicilios, teléfonos, así como números de pasaporte, país emisor y fechas de expiración. Para algunos usuarios del programa DiscoverEU, financiado por el programa Erasmus+, se estima que también podrían haberse expuesto datos bancarias (IBAN), copias de pasaportes o documentos de identidad y datos sanitarios.
Eurail ha destacado que no existe evidencia actual de que los datos hayan sido públicamente divulgados o explotados, mientras continúa monitoreando la situación para detectar cualquier uso indebido de la información robada. La empresa recomendó a los clientes afectados cambiar contraseñas vinculadas a sus cuentas y estar alerta ante intentos de phishing, suplantaciones de identidad y accesos no autorizados a otras plataformas.
El programa DiscoverEU, que otorga pases gratuitos de tren a jóvenes ciudadanos europeos que cumplen la mayoría de edad para fomentar la movilidad y el conocimiento cultural, parece haber ampliado el impacto del incidente, dado que los participantes pudieron haber proporcionado datos más sensibles durante el proceso de inscripción. Las autoridades europeas han comunicado su preocupación y trabajan junto a Eurail para mitigar el daño y asesorar a los afectados sobre medidas de protección adicionales.
Organizaciones de consumidores en ese continente han alertado sobre el riesgo de que, aun sin evidencia de uso malicioso, la filtración de datos críticos como pasaportes y cuentas bancarias puede facilitar fraudes financieros, suplantaciones de identidad o campañas de ingeniería social dirigidas.
Por ahora, la respuesta de Eurail incluye el cierre de la vulnerabilidad explotada, el restablecimiento de credenciales de acceso y la implementación de controles de seguridad reforzados mientras continúa la investigación forense sobre el incidente.