Carnival Corporation, el operador de cruceros mas grande del mundo, ha confirmado una masiva brecha de datos de Carnival Cruises que afecta a casi 6 millones de pasajeros, despues de que piratas informaticos accedieran a los sistemas de empleados mediante ingenieria social en abril de 2026. El grupo cibercriminal ShinyHunters reclamo la responsabilidad, robando datos personales de 5.995.277 personas, incluyendo numeros de pasaporte, licencias de conducir y otra informacion sensible.
Una sola llamada abrio Salesforce
La brecha comenzo el 10 de abril de 2026, cuando los atacantes usaron ingenieria social para comprometer las credenciales de un empleado. Carnival identifico la intrusion el 14 de abril y lanzo una investigacion. Mientras tanto, los hackers navegaron por los sistemas conectados a Salesforce y exfiltraron archivos con registros de clientes de varios anos de reservas de cruceros.
No se explotaron vulnerabilidades tecnicas. ShinyHunters no necesitaron un exploit de dia cero ni malware sofisticado: una llamada telefonica convincente fue suficiente. Esta tactica, conocida como vishing (phishing de voz), se ha convertido en el metodo caracteristico del grupo en docenas de ataques a entornos Salesforce en 2025 y 2026.
Que fue robado en la brecha de datos de Carnival Cruises
Carnival confirmo las siguientes categorias de datos a los que se accedio (variando segun el pasajero):
- Nombres completos y direcciones fisicas
- Direcciones de correo electronico y numeros de telefono
- Fechas de nacimiento
- Numeros de pasaporte
- Numeros de licencia de conducir
ShinyHunters afirmaron inicialmente haber robado mas de 8,7 millones de registros y terabytes de datos corporativos internos. La cifra oficial de Carnival es de 5.995.277 personas afectadas. La combinacion de numeros de pasaporte con fechas de nacimiento y direcciones crea un perfil de identidad casi completo, que no puede deshacerse con un cambio de contrasena o cancelacion de tarjeta.
Las notificaciones llegaron seis semanas despues del ataque
Carnival comenzo a enviar cartas de notificacion el 27 de mayo de 2026, 47 dias despues de detectar la brecha. Las leyes estadounidenses de notificacion de brechas de datos generalmente requieren notificacion en un plazo de 30 a 60 dias desde el descubrimiento, situando a Carnival en el limite extremo del cumplimiento legal.
Como respuesta, Carnival ofrece 24 meses de monitoreo de credito gratuito a traves de TransUnion para todos los residentes de EE. UU. cuyos datos fueron comprometidos. Los expertos en seguridad senalaron que el monitoreo de credito no protege los numeros de pasaporte ni de licencia de conducir.
Tres demandas colectivas presentadas
A los pocos dias de la divulgacion publica, se presentaron tres demandas colectivas separadas en tribunales federales de EE. UU. Las demandas alegan que Carnival no implemento controles de seguridad adecuados para prevenir ataques de ingenieria social, almaceno documentos de viaje sensibles en sistemas CRM conectados a Internet sin justificacion suficiente, y retardo la notificacion a los clientes durante un periodo irrazonablemente largo.
La campana escalada de ShinyHunters contra entornos Salesforce
La brecha de Carnival es parte de una campana mas amplia. En el mismo periodo, ShinyHunters usaron tacticas identicas de ingenieria social para comprometer Charter Communications, robando registros de 4,9 millones de suscriptores de banda ancha. El grupo se ha posicionado como el actor de extorsion de datos mas prolífico de 2026.
Los equipos de seguridad han identificado tres medidas defensivas que reducen consistentemente el riesgo: verificacion obligatoria de devolucion de llamada antes de otorgar acceso remoto, politicas estrictas de minimo privilegio en sistemas CRM, y capacitacion de empleados que simula especificamente escenarios de vishing.
Los pasajeros que se conectan regularmente al Wi-Fi del barco o a redes publicas durante los viajes enfrentan un riesgo adicional. Las redes de a bordo de los cruceros, compartidas entre miles de pasajeros, son objetivos de alto valor. Usar una conexion cifrada en Wi-Fi publico o de a bordo es una medida preventiva simple que protege los datos en transito.
