La plataforma que gestiona los billetes de Interrail ha confirmado haber sufrido un fallo de seguridad que ha provocado el robo de datos sensibles de sus clientes, entre ellos información bancaria y documentos de identidad. El incidente podría haber afectado también a los cerca de 400.000 jóvenes que han recibido un pase gratuito a través del programa DiscoverEU desde su lanzamiento en 2018.
La compañía responsable del sistema, Eurail, ha explicado en un comunicado que, tras detectar la brecha, activó de inmediato los protocolos de seguridad y puso en marcha una investigación con el apoyo de expertos externos en ciberseguridad y asesores legales. Según la empresa, el análisis para determinar el alcance total del incidente sigue en curso.
Alerta por phishing
En este proceso se evaluará el posible impacto sobre los clientes, incluidos los beneficiarios de DiscoverEU. En paralelo, la Comisión Europea ha recomendado a los jóvenes afectados que cambien las contraseñas de sus dispositivos y cuentas, y que vigilen con especial atención cualquier movimiento sospechoso en sus cuentas bancarias.
En una comunicación dirigida específicamente a los usuarios del programa, los servicios comunitarios alertan del riesgo de intentos de phishing, suplantación de identidad, accesos no autorizados y posibles robos de identidad derivados de este incidente, por lo que piden extremar la precaución.
Datos filtrados
Según la evaluación preliminar, los datos comprometidos podrían incluir información facilitada durante el proceso de reserva, como datos básicos de identidad y contacto. No obstante, la filtración también podría afectar a información especialmente sensible, como el número de pasaporte o DNI, el país de emisión de estos documentos y su fecha de caducidad.
Eurail subraya que aún no se han determinado con exactitud las categorías de datos personales afectadas ni el volumen total de información copiada de su base de datos. En cualquier caso, asegura que por el momento no existen pruebas de que los datos hayan sido utilizados de forma indebida o difundidos públicamente.
Notificado a la autoridad europea
La empresa añade que los expertos externos en ciberseguridad continúan supervisando la situación de manera constante y que el incidente ya ha sido notificado a la autoridad europea de protección de datos, así como a las autoridades nacionales competentes.
“Informaremos directamente a los clientes cuyos datos puedan haberse visto comprometidos. Nos tomamos muy en serio la seguridad de la información personal y lamentamos cualquier preocupación que este incidente pueda causar”, concluye la compañía en su comunicado.