Brecha masiva de datos en Eurail deja expuestos nombres, teléfonos y detalles de pasaportes en la dark web

Muy atento y mucho cuidado si este año tienes pensado hacer un viaje por toda Europa o incluso si ya lo tienes todo organizado para esas fechas. Eurail B.V., la empresa que gestiona los billetes que te permiten recorrer 33 países en tren, acaba de confirmar que los hackers que asaltaron sus sistemas hace unas semanas ya están haciendo negocio con tu información. 

Lo que empezó como un acceso de baja investigación ha escalado a un problema mayor ahora que se han detectado muestras de esos datos circulando por Telegram y foros de la dark web.

En este caso no solo se habla de los míticos correos de spam que pueden llegarte. Eurail ha reconocido que entre la información comprometida hay nombres completos, números de teléfono y, lo más preocupante, detalles de pasaportes y documentos de identidad. 

Esos datos son más que suficientes para que un ciberdelincuente tenga el kit completo para intentar suplantar tu identidad o crear estafas personalizadas. La compañía holandesa está trabajando a contrarreloj con expertos en ciberseguridad para saber exactamente a cuántas personas han dejado expuestas totalmente, pero el daño ya está hecho.

Google alerta: hackers están clonando el cerebro de la IA de Gemini para una nueva ola de peligrosos ciberataques

Teniendo en cuenta el tipo de viaje, gran parte de los afectados son chicos de 18 años que participan en el programa DiscoverEU de la Comisión Europea. Para ellos, el riesgo va un paso más allá, ya que en sus perfiles se suelen gestionar copias de documentos bancarios (IBAN) para reembolsos y, en algunos casos, hasta datos de salud si pidieron asistencia especial durante el viaje. 

Desde Eurail aseguran que sus servicios de tren y la aplicación Rail Planner siguen funcionando sin problema alguno, por lo que tus planes de viaje no tienen por qué cancelarse. Sin embargo, la empresa ya ha empezado a enviar correos individuales a los afectados.

Han activado todos los protocolos de la ley de protección de datos europea (GDPR) y han avisado a las autoridades, pero la realidad es que, una vez que los datos están en la dark web, borrarlos es literalmente imposible.

El truco de dos estafadores detenidos por la Policía Nacional para robar 10.000 euros en tres horas en un casino

Pasaportes y cuentas bancarias se convierten en el gran botín que ya se vende en la dark web

En canales de Telegram dedicados a vender todos estos datos, ya han aparecido mensajes para demostrar que el hackeo es real. Estos delincuentes no buscan vaciarte la cuenta mañana mismo, sino vender tus datos a otros grupos que se dedican al fraude a gran escala. Con tu número de pasaporte y tu fecha de nacimiento, pueden intentar abrir cuentas bancarias a tu nombre o hacer compras financiadas.

Eurail ha admitido que el acceso fue a través de una vulnerabilidad en su base de datos de clientes, la cual ya dicen haber cerrado. Pero, como suele pasar en estos casos, la respuesta llega demasiado tarde. 

A los viajeros afectados se les está pidiendo que cambien sus contraseñas inmediatamente, no solo en la app de Rail Planner, sino en cualquier otro sitio donde usen la misma.

Por supuesto, y teniendo en cuenta que los propios hackers saben esta circunstancia, mucho cuidado con los correos de phishing. Estos puede que tengan muchos de tus datos, pero quizá necesiten uno en concreto para tener acceso a todo. Es por eso que muy atento si ves un correo aparentemente real de Eurail. Verifica, en caso de que te pidan datos, que se trata realmente de ellos.