La empresa responsable de la plataforma de venta de billetes de Interrail, que permite adquirir un pase único con el que viajar por Europa durante un periodo determinado, ha comunicado un incidente grave de seguridad informática que ha derivado en el robo de datos sensibles de sus clientes, entre ellos información bancaria y números de DNI. El ataque podría haber afectado igualmente a cerca de 400.000 jóvenes beneficiarios del pase gratuito concedido por la Comisión Europea al cumplir los 18 años desde el lanzamiento en 2018 de la iniciativa “Discover EU”.
“Tras el descubrimiento, comenzamos inmediatamente a trabajar para proteger nuestros sistemas e iniciamos una investigación con el apoyo de especialistas externos en ciberseguridad y asesores legales”, ha informado la compañía, Eurail, en un comunicado, en el que advierte de que la investigación para determinar el “alcance total” del incidente sigue abierta.
En el marco de esta evaluación, la empresa analizará el “posible impacto” sobre los usuarios, entre los que incluye expresamente a los jóvenes que han participado en “Discover EU”. A estos, la Comisión Europea les ha remitido una comunicación específica en la que aconseja modificar las contraseñas de sus dispositivos y cuentas en línea y mantenerse “particularmente atentos” a los movimientos en sus cuentas bancarias.
En el mensaje dirigido a los jóvenes usuarios de “Discover EU”, los servicios comunitarios alertan del peligro de intentos de phishing, suplantación de identidad, accesos no autorizados y eventual robo de identidad a raíz del incidente, por lo que les insta a extremar la vigilancia en su actividad digital y financiera.
Según el análisis preliminar realizado por Eurail, la brecha de seguridad habría afectado a datos facilitados por los clientes durante el proceso de reserva, incluyendo información básica de identificación y contacto. No obstante, el robo alcanzaría también datos especialmente sensibles, como el número de pasaporte o DNI, el país emisor de dichos documentos y la fecha de caducidad.
La compañía precisa en su nota que aún debe concretar qué categorías exactas de datos personales se han visto comprometidas y hasta qué punto se han copiado registros de su base de datos de clientes. Aun así, sostiene que, por el momento, “no hay pruebas de que los datos se hayan utilizado indebidamente o se hayan divulgado públicamente”.
Asimismo, Eurail subraya que los especialistas externos en ciberseguridad contratados “supervisan constantemente” la situación. La firma ha comunicado el incidente a la autoridad europea de protección de datos y está trasladando la información a las distintas autoridades nacionales competentes en materia de privacidad y ciberseguridad.
“Se informará directamente a los clientes a cuyos datos se haya podido acceder. Nos tomamos muy en serio la seguridad de la información de nuestros clientes y lamentamos cualquier preocupación que pueda causar este incidente”, ha indicado Eurail en el comunicado difundido tras el robo.