Carnival sufre filtración masiva: 6 millones de pasajeros expuestos por ShinyHunters

Crucero Carnival navegando en el océano
Carnival Corporation, la empresa de cruceros más grande del mundo, sufrió una filtración de datos que afecta a casi 6 millones de personas.

Si has viajado en Carnival Cruise Line, presta atención: la empresa confirmó que un atacante robó los datos de casi 6 millones de pasajeros tras engañar a un empleado con una simple llamada telefónica. ShinyHunters, el grupo de extorsión detrás del ataque, ya está ofreciendo los datos en la dark web.

No es la primera vez que Carnival tiene problemas de seguridad —y el historial es peor de lo que imaginas.

¿Qué pasó exactamente?

El 14 de abril de 2026, un atacante usó técnicas de ingeniería social para engañar a un empleado de Carnival y obtener acceso a los sistemas internos de la compañía. Ocho días después, el 22 de abril, usó una cuenta comprometida para acceder a "una parte limitada" de los sistemas y copiar datos personales antes de ser detectado.

El resultado: 5,995,277 personas afectadas, según la notificación oficial presentada en Maine.

ShinyHunters, el mismo grupo que ha atacado a AT&T, Ticketmaster y otras grandes empresas, reivindicó el ataque y ya está ofreciendo los datos robados para descargar en la dark web.

¿Qué datos se robaron?

Según Malwarebytes y los investigadores de Gblock, los datos sustraídos incluyen:

Sin embargo, la carta de notificación que Carnival está enviando a los afectados usa un marcador de posición genérico: "We have determined that your <<data elements>> were obtained." Esto sugiere que cada víctima puede tener diferentes categorías de datos expuestas, dependiendo de la información que haya proporcionado a la empresa.

En filtraciones anteriores de Carnival, los datos expuestos incluyeron números de pasaporte, información médica y datos de pago. La compañía no ha revelado todas las categorías del incidente de 2026.

Un historial de seguridad alarmante

Esto no es un accidente aislado. Carnival Corporation tiene un historial preocupante de incidentes de ciberseguridad:

La pregunta es obvia: ¿cómo puede una empresa que maneja datos sensibles de millones de personas —incluyendo números de pasaporte— seguir siendo víctima de ingeniería social básica en 2026?

¿Qué significa esto para los pasajeros?

Para los latinoamericanos que viajan a Miami o Los Ángeles para abordar un crucero Carnival, el riesgo es doble: datos personales expuestos + posibles estafas de phishing dirigidas en español.

Los criminales pueden usar tu nombre, fecha de nacimiento y correo para crear estafas convincentes: falsos "reembolsos" de Carnival, ofertas de cruceros "gratis", o suplantación de identidad para abrir cuentas bancarias.

¿Qué hacer si viajaste con Carnival?

Carnival está ofreciendo 24 meses de monitoreo de crédito gratuito a través de TransUnion (plataforma MyTrueIdentity) con soporte de Cyberscout para asistencia en fraudes.

Pero no te confíes solo de eso. Toma estas medidas YA:

  1. Revisa tu correo — Carnival está notificando por escrito a los afectados. Si recibiste una carta, no ignores el aviso.
  2. Congela tu crédito — Contacta a las centrales de riesgo (Buró de Crédito en México, Equifax en Argentina, etc.) y congela tu historial crediticio. Es gratis y evita que abran cuentas a tu nombre.
  3. Cuidado con el phishing — No hagas clic en enlaces de correos que "verifiquen" tu cuenta Carnival. Si tienes dudas, llama directamente a la empresa.
  4. Cambia contraseñas — Si usaste la misma contraseña de Carnival en otros servicios, cámbiala YA. Usa un gestor de contraseñas.
  5. Activa 2FA — En todos tus servicios financieros y de email. Es la capa de protección más efectiva contra el robo de identidad.

La filtración de Carnival es un recordatorio brutal de que ninguna empresa es demasiado grande para ser hackeada. Y que, al final, la responsabilidad de proteger tus datos recae en ti.

Comparte esto con alguien que haya viajado en crucero este año — podría salvarle de una estafa.