Carnival Corporation, empresa matriz de Carnival Cruise Line, está enviando nuevas cartas de «Notificación de incidente de ciberseguridad» con fecha del 27 de mayo de 2026. Si te parece que ya has leído esa frase antes, no te lo estás imaginando. A lo largo de la última década, la mayor empresa de cruceros del mundo ha acumulado un historial preocupante de violaciones de seguridad, incidentes de ransomware y sanciones regulatorias, y este incidente de 2026 añade una entrada más a una historia de ciberseguridad ya de por sí extensa.
En nuestra base de datos figuran varias filtraciones de datos relacionadas con Carnival Corporation o alguna de sus filiales.
Solo entre 2019 y 2021, Carnival notificó cuatro incidentes de ciberseguridad distintos al Departamento de Servicios Financieros de Nueva York. Entre ellos se contaban dos ataques de ransomware y un incidente de phishing en el que los atacantes desplegaron malware, accedieron a los sistemas internos y los cifraron, y sustrajeron información personal de clientes y empleados.
En este último caso, un atacante utilizó técnicas de ingeniería social para engañar a un empleado de Carnival y que este le concediera acceso a parte de los sistemas informáticos de la empresa el 14 de abril de 2026. El 22 de abril, utilizó una cuenta comprometida para acceder a una «parte limitada» de los sistemas informáticos de Carnival, donde pudo copiar datos personales antes de que se le bloqueara el acceso.
Según la notificación de filtración de datos presentada en Maine, un total de 5 995 277 personas se vieron afectadas. Carnival determinó que el intruso había copiado ilegalmente archivos que contenían información personal y ahora se está poniendo en contacto por escrito con las personas afectadas para informarles de que se han obtenido «datos» relacionados con ellas.
Según los investigadores citados por Gblock, los datos sustraídos parecen incluir:
- Nombres completos
- Direcciones de correo electrónico
- Fechas de nacimiento
- Géneros
- Estatus y nivel de afiliación a Mariner Society
- Identificadores internos de clientes
La plantilla de carta no incluye campos de datos concretos. En su lugar, utiliza un marcador de posición:
“We have determined that your <<data elements>> were obtained.”
Esto apunta claramente a que Carnival está rellenando cada carta con categorías de datos relevantes para cada persona en concreto, un patrón habitual en las filtraciones de gran envergadura, en las que es posible que los usuarios hayan facilitado información diferente en distintos momentos.
Además, las cartas incluyen la información habitual sobre la rapidez con la que actuó la empresa, la participación de expertos externos y la descripción de los sistemas afectados como un subconjunto limitado del entorno. Para los destinatarios, lo importante no es hasta qué punto la filtración fue limitada desde el punto de vista de la empresa, sino si la información expuesta podría utilizarse para el robo de identidad, el fraude o ataques de phishing muy convincentes.
Las filtraciones ocurren a diario. No seas el último en enterarte.
Sabemos, por incidentes anteriores de Carnival, que los datos filtrados han incluido nombres, direcciones, fechas de nacimiento, números de pasaporte, información médica y datos de pago. En filtraciones anteriores que afectaron a compañías de cruceros, los datos comprometidos han abarcado desde datos de contacto básicos hasta números de la Seguridad Social e información de tarjetas de crédito. Carnival no ha revelado públicamente todas las categorías de datos implicados en el incidente de 2026, pero dado que este suceso de 2026 vuelve a implicar «información personal» copiada de sistemas internos, es razonable considerarlo un incidente grave de privacidad, aunque la combinación exacta de datos varíe según la persona.
El grupo de extorsión ShinyHunters, conocido por robar datos y luego exigir un rescate, reivindicó el ataque. Si la víctima no acepta las condiciones, los datos se publicarán o se venderán al mejor postor.
Desde el punto de vista de los ciberdelincuentes, los datos del sector de los cruceros tienen un gran valor. Los pasajeros de cruceros suelen ser personas con un nivel económico relativamente alto, y los registros de pasajeros pueden incluir datos de identidad (nombres, direcciones, fechas de nacimiento, números de pasaporte), datos de contacto (correos electrónicos, números de teléfono) y, potencialmente, datos de pago (números de tarjeta y, en ocasiones, datos bancarios), lo que los convierte en un objetivo valioso para el robo de identidad, el phishing dirigido y el fraude.
Qué hacer si te ves afectado
Para mitigar las consecuencias, Carnival ofrece un paquete gratuito de supervisión crediticia de TransUnion durante 24 meses, que se gestiona a través de la plataforma MyTrueIdentity y cuenta con el apoyo de Cyberscout para la asistencia en casos de fraude.
Ten cuidado con los correos electrónicos, mensajes de texto o llamadas que afirmen proceder de Carnival o de empresas de supervisión crediticia, ya que los ciberdelincuentes suelen aprovechar las filtraciones de datos para llevar a cabo estafas de phishing. Lee nuestros consejos sobre qué hacer si descubres que te has visto afectado por una filtración de datos.
¿Qué saben los ciberdelincuentes sobre ti?
Utiliza el análisis gratuito de huellas digitales Malwarebytes para comprobar si tu información personal ha sido expuesta en Internet.
