300,000 pasaportes robados: la filtración de Eurail que expuso a todos los viajeros de Europa

Pantalla de computadora mostrando código y datos de seguridad
La filtración de Eurail expuso datos sensibles de más de 300,000 viajeros que usaron el pase de tren europeo

Si viajaste por Europa con un pase Interrail o Eurail en los últimos años, tus datos personales — incluyendo el número de pasaporte — pueden estar en la dark web en este mismo momento.

Un atacante robó 1.3 terabytes de la base de datos de Eurail B.V., la empresa que opera los pases de tren más populares de Europa. La filtración expuso información de más de 308,000 pasajeros, incluyendo nombres completos, direcciones, correos electrónicos, números de pasaporte y datos bancarios parciales.

La Oficina de Pasaportes del Reino Unido (HM Passport Office) ya está instruyendo a los ciudadanos británicos afectados a cancelar sus pasaportes de inmediato. Y esto es solo el principio.

¿Qué pasó exactamente?

El 11 de julio de 2026, Eurail B.V. confirmó que un actor de amenazas logró acceder a su infraestructura de TI y extrajo 1.3 TB de datos sensibles de clientes que compraron pases Interrail y Eurail.

Según reportes de The Register y SecurityWeek, el atacante publicó una parte de los datos en la dark web después de que la compañía se negara a pagar un rescate. Los datos incluyen:

El dato más alarmante: los números de pasaporte completos están expuestos. Con esa información, un ciberdelincuente puede intentar suplantar tu identidad, abrir cuentas bancarias a tu nombre, o incluso solicitar visados fraudulentos.

¿Estás afectado? Señales de alerta

Si compraste un pase Interrail o Eurail desde 2022, tus datos pueden estar comprometidos. Eurail no ha publicado una lista oficial de afectados, pero los expertos de Help Net Security recomiendan buscar estas señales:

¿Qué hacer AHORA MISMO si compraste un pase Interrail?

Esto no es para asustarte, es para que actúes. Los pasos que los expertos en ciberseguridad recomiendan son estos:

1. Congela tu crédito (si estás en EE.UU. o Europa)

Esto evita que alguien abra cuentas a tu nombre. En EE.UU. puedes hacerlo gratis con Equifax, Experian y TransUnion. En Europa, contacta a la agencia de crédito local.

2. Cambia contraseñas URGENTE

Si usaste la misma contraseña en Eurail que en otros servicios, cámbiala ahora. Usa un gestor de contraseñas como Bitwarden (es gratis y open-source).

3. Activa autenticación de dos factores (2FA)

En TODOS los servicios donde esté disponible. Sin 2FA, solo una contraseña te separa de que vacíen tus cuentas.

4. Monitorea tus cuentas bancarias

Revisa los movimientos de los últimos 30 días. Si ves algo extraño, reporta inmediatamente. La ventana de detección temprana marca la diferencia.

5. Cancela tu pasaporte si eres ciudadano británico

La HM Passport Office está procesando reemplazos de emergencia. Si eres de otro país, contacta a tu consulado para saber el procedimiento.

¿Y si eres de LATAM?

Si compraste un Global Pass de Eurail para viajar por Europa y eres de México, Colombia, Argentina, Chile, Perú o cualquier país latinoamericano: tus datos también están expuestos.

Algunos pasaportes latinoamericanos requieren visa para entrar a ciertos países europeos. Si tu número de pasaporte está filtrado, un delincuente podría usarlo para solicitar visados fraudulentos, lo que te causaría problemas migratorios graves.

Recomendación extra para LATAM: Contacta a la embajada del país que planeas visitar y pregunta si hay algún protocolo para pasaportes potencialmente comprometidos. En México, la SRE tiene un sistema de alerta de pasaportes; en Colombia, la Cancillería puede emitir un nuevo pasaporte con un costo reducido en casos de robo o filtración.

¿Qué está haciendo Eurail?

La empresa ha confirmado el ataque y está notificando a los afectados por correo electrónico. Sin embargo, múltiples fuentes (The Guardian, The Register, SecurityWeek) reportan que el atacante ya publicó los datos en foros de la dark web antes de que Eurail comenzara las notificaciones.

Esto significa que tus datos YA están circulando. No esperes a que Eurail te notifique. Actúa ahora.

Según CSO Online, el atacante utilizó credenciales robadas de un empleado de Eurail para acceder al sistema — un recordatorio brutal de que el eslabón más débil en cualquier seguridad sigue siendo el humano.

La lección más grande aquí

Esto no es un problema de Eurail. Es un problema de cómo las empresas manejan tus datos. Cada vez que compras un boleto, te registras en un sitio, o descargas una app, estás entregando información que puede ser robada mañana.

Las empresas no van a proteger tus datos por ti. La responsabilidad es tuya.

Tres reglas de oro desde hoy:

  1. Nunca guardes datos bancarios en sitios de reservas de viajes
  2. Usa tarjetas virtuales desechables para compras online (Revolut, N26, Apple Card)
  3. Cada 6 meses, revisa qué cuentas tienes abiertas y cierra las que no uses

Comparte esto con alguien que esté planeando un viaje a Europa. Si esta nota le llega a una sola persona antes de que le roben la identidad, habrá valido la pena.