El operador de cruceros Carnival Corporation ha confirmado una grave brecha de datos que afecta a casi seis millones de personas después de que los atacantes accedieran a la información de los clientes a través de una cuenta de empleado comprometida.
La empresa reveló que la intrusión ocurrió en abril de 2026 después de que los ciberdelincuentes utilizaran tácticas de ingeniería social para engañar a un empleado y obtener acceso no autorizado a sistemas internos. Carnival indicó que la actividad sospechosa fue rápidamente bloqueada tras la detección y la incorporación de especialistas externos en ciberseguridad para investigar el incidente.
Según informes de seguimiento de brechas y conjuntos de datos filtrados revisados por investigadores, el incidente podría haber revelado información vinculada a aproximadamente entre 5,5 y 7,5 millones de personas vinculadas a las marcas y programas de fidelización de Carnival.
Los datos comprometidos incluyen supuestamente nombres, direcciones de correo electrónico, fechas de nacimiento, géneros, ubicaciones geográficas e información del programa de fidelización relacionada con el programa Mariner Society de Holland America Line. Algunos informes también indican que los números de identificación y direcciones emitidos por el gobierno pudieron haber sido accedidos durante la brecha.
Investigadores y servicios de monitorización de brechas vincularon el incidente con el grupo de ciberdelincuencia ShinyHunters, un colectivo de extorsión conocido por atacar servicios en la nube, plataformas de inicio de sesión único y bases de datos empresariales de clientes. El grupo supuestamente intentó extorsionar a Carnival antes de que partes de los datos robados se filtraran en línea.
Carnival no ha atribuido públicamente el ataque a un actor amenazante específico. Sin embargo, el incidente sigue a una ola creciente de brechas vinculadas a ShinyHunters dirigidas a grandes corporaciones durante todo 2026, incluyendo empresas de telecomunicaciones, empresas de hostelería, minoristas y plataformas educativas.
La brecha no es el primer incidente de ciberseguridad que involucra a Carnival. La empresa ya había revelado previamente ataques de ransomware y brechas de datos en 2020 y 2021 que expusieron información de clientes, empleados y tripulantes en varias marcas de cruceros.
Carnival opera varias líneas de cruceros globales, incluyendo Carnival Cruise Line, Princess Cruises, Holland America Line, Cunard, Costa Cruises, AIDA Cruises, Seabourn y P&O Cruises. La compañía atiende a millones de pasajeros anualmente y mantiene grandes bases de datos que contienen información sobre viajes, reservas y programas de fidelización.
La empresa afirmó que su investigación en curso no ha identificado accesos no autorizados a sistemas de tarjetas de pago ni a sistemas operativos de barcos. Carnival también afirmó que continúa revisando el alcance de los datos afectados y notificando a las personas afectadas cuando la ley lo requiera.