Hackeo a Interrail y Eurail: la empresa que gestiona los billetes de tren avisa de un robo de datos de clientes que afecta al programa Erasmus

La compañía Eurail BV, dedicada a la gestión y venta de los billetes de tren Eurail e Interrail, ha notificado un robo de datos de sus clientes, que afecta a los jóvenes participantes en la iniciativa europea DiscoverEU, del programa Erasmus+, y que podría involucrar información sobre domicilio, cuentas bancarias o datos sanitarios. En un comunicado, la empresa con sede en Países Bajos alertó de un fallo de seguridad en sus sistemas informáticos que provocó "el acceso no autorizado" a los datos de sus clientes, si bien por el momento desconoce la identidad y el número exacto de personas afectadas.

La empresa encargada de gestionar y vender los pases de trenes de Interrail -para ciudadanos europeos- y Eurail -para viajeros no residentes en Europa- encomendó una investigación a especialistas externos en ciberseguridad y asesores legales, que aún sigue su curso, y estableció medidas para asegurar los sistemas afectados y cerrar la brecha. "Actualmente, no hay evidencia de que los datos hayan sido utilizados indebidamente o divulgados públicamente", aclaró la empresa, que asegura que contactará "directamente" a los clientes cuyos datos hayan sido accedidos.

Entre los clientes cuya información personal ha sido vulnerada se encuentran aquellos que recibieron un pase gratuito como parte del programa DiscoverEU, una iniciativa financiada por el programa Erasmus+ para viajar por Europa, que la semana pasada otorgó billetes de tren gratuitos a 40.000 jóvenes europeos de 18 años, de los que casi 4.000 -un 10 %- fueron españoles.

Los datos filtrados

En un mensaje enviado a los usuarios, Eurail BV indicó que los datos filtrados podrían incluir nombre, apellidos, fecha de nacimiento, sexo, correo electrónico, domicilio, número de teléfono -si se proporciona-. e información del pasaporte, como su número, país de emisión o fecha de vencimiento -sin incluir su copia-.

Sin embargo, el Portal Europeo de la Juventud de la UE, responsable del programa DiscoverEU, amplió las categorías de datos involucrados y especificó en un comunicado propio que se pueden haber filtrado todos aquellos datos que el usuario "haya proporcionado", por lo que los participantes en la iniciativa europea podrían estar más expuestos. A la información aportada por la compañía proveedora, el portal europeo añadió el posible robo de las fotocopias del pasaporte o documento de identidad aportado, la referencia de cuenta bancaria (IBAN) y datos relativos a la salud.