Algunos viajeros de Interrail han sido instruidos para cancelar sus pasaportes tras la filtración de datos personales en la dark web, según informó Eurail, la empresa que vende los pases Interrail y Eurail.
La brecha de seguridad, ocurrida en diciembre de 2025, afectó a más de 300.000 viajeros europeos, cuyos datos — incluyendo números de pasaporte, nombres, números de teléfono, direcciones de correo electrónico, direcciones domiciliarias y fechas de nacimiento — fueron expuestos y posteriormente ofrecidos a la venta en la dark web.
Eurail confirmó esta semana que una muestra del conjunto de datos robados ha sido publicada en Telegram y que el paquete completo está siendo ofrecido a la venta en mercados clandestinos.
La Oficina de Pasaportes del Reino Unido ha indicado a al menos un cliente que debía «cancelar su pasaporte para evitar su uso en actividades fraudulentas», y también informó que dicho usuario debía abonar la tarifa completa de £102 por un reemplazo.
Otra cliente afectada en Dinamarca declaró haber sido obligada a cancelar su pasaporte, con un costo estimado de reposición superior a los £200.
Una viajera afectada, quien prefirió permanecer en el anonimato, describió la situación como «una pesadilla absoluta» y expresó preocupación por no saber cuán grave era el incidente, especialmente tras enterarse de que sus datos estaban a la venta en la dark web.
Ella y otra integrante de su grupo de viaje, que recorrió Europa desde Penzance hasta Nápoles el verano pasado, dijeron que la noticia les generó inquietud acerca de poder obtener nuevos pasaportes a tiempo para sus planes de viaje veraniegos.
Según los resultados de la investigación, el atacante accedió a los sistemas de Eurail el 26 de diciembre de 2025, extrayendo aproximadamente 1,3 terabytes de datos que incluían no solo información personal, sino también código fuente, credenciales de infraestructura y respaldos de bases de datos desde sistemas como AWS S3, Zendesk y GitLab.
Eurail no determinó el alcance completo de la brecha hasta el 25 de febrero de 2026, dos meses después del incidente, y comenzó a notificar a las personas afectadas el 27 de marzo de 2026.
