Eurail B.V., la empresa holandesa que vende Interrail y Eurail passes para viajes por 33 ferrocarriles europeos, sufrió una brecha de datos en diciembre 2025 que comprometió los datos personales de más de 308,000 personas, incluyendo nombres, números de pasaporte, IBANs, información de salud y direcciones. La intrusión no fue detectada hasta febrero 2026 y los datos ya están siendo vendidos en la dark web.
En 30 segundos
- Eurail B.V. confirmó una brecha que afectó a 308,777 personas, con datos transferidos el 26 de diciembre 2025
- Los datos robados incluyen nombres, pasaportes, IBANs, información de salud, emails y teléfonos
- La brecha no fue detectada hasta el 25 de febrero 2026, más de dos meses después
- Los atacantes publicaron muestras en Telegram y están vendiendo 1.3 TB de datos en la dark web
- Si compraste Eurail o Interrail, debés cambiar contraseña, habilitar 2FA y monitorear tu crédito
Qué es Eurail y por qué esta brecha es particularmente grave
Eurail B.V. es una empresa holandesa que opera el principal sistema de pases de tren para viajeros en Europa, cubriendo 33 ferrocarriles nacionales. Vende dos productos principales: Eurail Pass (para turistas internacionales) e Interrail Pass (para residentes europeos). Además, gestiona DiscoverEU, un programa de la Unión Europea que regala pases a jóvenes de 18 años para viajar gratis por el continente. Ponele que es como Uber pero para trenes europeos, en términos de concentración de datos sensibles de viajeros.
La gravedad de esta brecha no está solo en el número de afectados (que ya es bastante), sino en el tipo de información que se robó. No es username y contraseña. Es información que podría permitirle a un atacante cometer fraude de identidad, abrir cuentas bancarias fraudulentas, o vender esos datos en el mercado negro a criminales especializados (spoiler: exactamente eso está pasando ahora).
Cronología exacta: cómo tardaron dos meses en detectar que les robaban
Según el comunicado oficial de Eurail, la transferencia de archivos ocurrió el 26 de diciembre 2025. Dos meses después, el 25 de febrero 2026, la empresa determinó que esos archivos robados contenían información personal de los usuarios (nombres, números de pasaporte, etc.). Recién el 27 de marzo 2026 enviaron notificaciones a las personas afectadas.
Eso sí, ese gap entre diciembre y febrero no es nada raro en estos casos (aunque tampoco tranquilizador). Lo que pasó es que los atacantes ganaron acceso, descargaron datos sin disparar alarmas inmediatas, y Eurail no descubrió la intrusión hasta que probablemente alguien reportó los datos en venta o algún sistema de monitoreo de la dark web les avisó que su información estaba circulando.
Qué datos exactamente fueron robados
El comunicado de Eurail confirma que los archivos incluían:
- Nombres completos
- Números de pasaporte
- Números de ID / cédula
- Números de cuenta bancaria (IBANs)
- Información de salud (datos médicos declarados al comprar el pase, como requerimientos de accesibilidad)
- Emails y teléfonos
- Direcciones físicas
- Código fuente de la aplicación y backups de base de datos (según reportes de Cybernews)
Para ponerlo en perspectiva, cada uno de estos datos tiene valor diferente en el mercado negro. Un pasaporte es oro puro. Un IBAN con nombre asociado permite transferencias fraudulentas. La combinación de pasaporte + IBAN + email + teléfono permite asumir identidad, abrir líneas de crédito, comprar cosas a nombre de otros. Más contexto en defensas en profundidad contra accesos no autorizados.
El impacto especial en DiscoverEU: jóvenes europeos sin saber qué onda
DiscoverEU es un programa de la Comisión Europea que regala pases de tren a jóvenes de 18 años seleccionados por sorteo. Desde 2018 ha beneficiado a cientos de miles de europeos. Acá viene lo jodido: estos beneficiarios registran datos adicionales en la plataforma de Eurail (documentación de identidad escaneada, información demográfica detallada) que también fueron robados.
Esto significa que hay cientos de miles de jóvenes europeos que ni se dan cuenta de que sus datos están en venta en la dark web. Muchos ni siquiera fueron notificados de forma proactiva por el programa DiscoverEU, sino que Eurail les escribió directamente desde su sistema de notificaciones.
La venta de datos: Telegram, dark web y 1.3 TB de archivo
El cronograma de circulación de datos fue así: en febrero 2026, apenas días después de que Eurail descubriera la brecha, atacantes publicaron una muestra de los datos en Telegram (el messaging app que, para estos casos, tiene menos moderación que otros). Ese mismo mes, comenzaron a intentar vender el dataset completo en mercados de la dark web.
El volumen de datos transferidos fue masivo: 1.3 TB incluyendo no solo registros de usuarios, sino también código fuente de la aplicación, backups completos de base de datos, y tickets de soporte (Zendesk) que podrían contener información adicional de usuarios e interacciones internas de la empresa. Eso es arsenal completo para un atacante. Tema relacionado: protege los datos que recolectas en formularios.
¿El riesgo? Que los criminales no solo tienen datos para fraude de identidad inmediato, sino también tienen el código fuente para identificar otras vulnerabilidades en el sistema Eurail, o usar el código robado en ataques a otras empresas del sector de viajes.
Tabla: qué datos robados vs riesgo real
| Tipo de dato robado | Riesgo inmediato | Riesgo a mediano plazo |
|---|---|---|
| Nombre + Pasaporte | Fraude de identidad en reservas aéreas y hoteleras | Venta combinada a otros criminales especializados |
| IBAN completo | Transferencias fraudulentas directas, si el email también está comprometido | Venta a redes de lavado de dinero |
| Email + Teléfono | Phishing específico («tu pasaporte fue robado, verifica aquí»), spam de seguridad falso | Reuso en otros ataques a servicios de viajes |
| Información de salud | Bajo riesgo financiero inmediato | Discriminación en seguros si se vende a corredores de seguros fraudulentos |
| Código fuente Eurail | No afecta a usuarios directamente | Identificación de vulnerabilidades adicionales para atacar a Eurail o competidores |
Cómo protegerte si usaste Eurail o Interrail
Si compraste un pase Eurail o Interrail en los últimos años, no es momento de pedir disculpas a nadie, es momento de actuar. Acá van los pasos concretos:
- Cambiá tu contraseña en eurail.com inmediatamente (si es que todavía tenés cuenta activa). Usá una contraseña única que no hayas usado en otro lado, mínimo 16 caracteres con mayúscula, número, símbolo.
- Habilitá 2FA (autenticación de dos factores) en eurail.com y en tu email asociado (eso es crítico porque si el email está comprometido, todo lo demás se cae).
- Monitoreá tu cuenta bancaria y pide alertas de fraude a tu banco. Si tu IBAN fue robado, los criminales lo van a probar. Mejor que tu banco te avise de inmediato si ve algo raro.
- Considerá bloquear tu crédito con las agencias de crédito de tu país (Equifax, Experian, TransUnion en USA; Infocorp en Argentina). Eso hace más difícil que abran líneas de crédito fraudulentas a tu nombre.
- Si viajás frecuentemente, monitoreá reservas en tu nombre que no hiciste en aerolíneas y cadenas hoteleras.
- No cliquees en emails «de Eurail» que no esperabas (especialmente después de una brecha, los phishing attacks dispararse). Si tenés dudas, entrá directamente a eurail.com en el navegador, no hagas click en links del email.
Cómo verificar si estás en la lista de afectados
Eurail envió notificaciones por email a las personas afectadas el 27 de marzo 2026. Si compraste un pase entre 2019 y diciembre 2025, hay posibilidades. Si recibiste un email de Eurail que comienza con «The evidence showed that an unauthorized actor transferred files from our network on December 26, 2025», lamentablemente estás en la lista.
También podés verificar en el sitio oficial de Eurail, sección «Data Security Incident», donde detalla qué información se robó y el rango de fechas afectadas. Algunos estados en USA han abierto reportes (Eurail registró la brecha con la Oficina del Fiscal General de Oregon), así que si vivís en USA podés revisar el registro público. En automatiza auditorías de seguridad en tu sitio profundizamos sobre esto.
Para otros países, contactá directamente a Eurail en es-support@eurail.com o chequeá si tu país tiene un organismo de protección de datos que tenga el reporte formal.
Errores que comete la gente en casos como este
Error 1: «Yo no tengo nada que perder, mí no me afecta»
Falso. Si tu nombre y pasaporte están en venta, un criminal puede usarlo para reservar vuelos fraudulentos (que probablemente no vas a saber que existen hasta que la aerolínea te reclama). O puede entrar a tu cuenta bancaria si usás la misma contraseña en múltiples servicios (que es el error número 1 de seguridad). No necesitás ver el fraude directamente para estar comprometido.
Error 2: Pensar que la VPN te protege retroactivamente
Una VPN no te protege de una brecha que ya sucedió. Una VPN cifra tu conexión cuando vos navegás hoy. Pero los datos robados en diciembre 2025 no se desencriptarán porque uses VPN ahora. Lo que sí hace una VPN es protegerte de futuras filtraciones, así que usarla de acá en adelante es buena idea, pero no es «solución» para esta brecha en particular.
Error 3: Ignorar el reporte y esperar a que «se olvide»
Los datos en la dark web no expiran. Un criminal puede esperar meses o años para vender tus datos a otro criminal que los use. El fraude de identidad puede aparecer 6, 12 o 24 meses después. La acción que tomes ahora (cambiar contraseña, 2FA, monitoreo de crédito) es lo que te va a frenar eso. Complementá con monitoreo inteligente de anomalías de seguridad.
Preguntas Frecuentes
¿Qué fue la brecha de datos de Eurail exactamente?
Una intrusión no autorizada en los sistemas de Eurail B.V. el 26 de diciembre 2025 donde atacantes transfirieron 1.3 TB de datos incluyendo registros de usuarios (nombres, pasaportes, IBANs, información de salud) y código fuente de la aplicación. Afectó a 308,777 personas registradas en la plataforma.
¿Cuántas personas fueron afectadas?
Según reportes de the Record, Eurail registró la brecha con la Oficina del Fiscal General de Oregon indicando 308,777 individuos afectados. El número podría ser más alto si considerás los que compraron pases pero no tenían perfil activo al momento de la brecha.
¿Cómo sé si mis datos fueron comprometidos en esta brecha?
Eurail envió notificaciones por email el 27 de marzo 2026 a las personas afectadas. Si compraste un pase Eurail o Interrail entre 2019 y diciembre 2025 y recibiste ese email, estás en la lista. También podés contactar a Eurail directamente o revisar el comunicado oficial en eurail.com.
¿Están vendiendo mis datos en la dark web?
Sí. Según reportes de HelpNetSecurity, las muestras de datos fueron publicadas en Telegram en febrero 2026 y se está vendiendo el dataset completo en mercados de dark web. No hay forma de que vos personally verifiques eso sin acceso a dark web, pero podés asumir que tus datos están disponibles si recibiste el email de notificación de Eurail.
¿Qué debería hacer ahora mismo si compré Interrail?
Cambiá tu contraseña en eurail.com con una contraseña única y fuerte, habilitá 2FA, contactá a tu banco para monitoreo de fraude, y considerá bloquear tu crédito en agencias de crédito si vivís en un país con esos servicios disponibles. Monitoreá tu cuenta bancaria y alertás de tu tarjeta de crédito en los próximos meses.
Qué está confirmado y qué aún es especulación
| Hecho | Estado | Fuente |
|---|---|---|
| Transferencia de archivos ocurrió el 26 de diciembre 2025 | Confirmado | Comunicado oficial Eurail |
| Se robaron 308,777 registros de usuarios | Confirmado | Reporte de Eurail a Oficina Fiscal General Oregon |
| Datos incluyen nombres, pasaportes, IBANs, salud | Confirmado | Notificación oficial de Eurail a usuarios |
| Los datos están siendo vendidos en dark web | Confirmado por reportes independientes | Cybernews, SecurityWeek, HelpNetSecurity |
| Muestras fueron publicadas en Telegram | Confirmado | Reportes de seguridad y análisis de dark web |
| El volumen total robado fue 1.3 TB | Reportado pero no oficialmente confirmado por Eurail | Análisis de reportes de seguridad independientes |
| El código fuente estaba incluido en los datos robados | Reportado pero no confirmado por Eurail | Cybernews y otros analistas de dark web |
Qué significa para los viajeros frecuentes en Europa
Si viajás regularmente por Europa con Eurail o Interrail, esto te afecta directamente. No solo por los datos robados, sino porque la confianza en esa plataforma está comprometida. Muchos viajeros van a migrar a comprar boletos directamente en ferrocarriles nacionales o a usar apps de terceros (Trainline, Omio) que consolidan boletos pero no centralizan tanta información personal.
Además, ojo con esto: si renovás tu pase Eurail en los próximos meses, estás ingresando datos nuevos en una plataforma que (aunque haya parcheado la vulnerabilidad) ya fue comprometida. Muchos usuarios van a esperar a ver evidencia clara de que Eurail mejoró su seguridad antes de volver a confiar completamente.
Conclusión
La brecha de Eurail es seria. No es «perdimos algunos emails». Es pasaportes, IBANs y datos de salud circulando en la dark web. Lo que hace un poco más grave es que tardaron dos meses en descubrirla, lo que significa que los atacantes tuvieron mucho tiempo para exfiltrar datos sin presión.
Si compraste un pase en los últimos años, asumí que tus datos están comprometidos y actuá en consecuencia: contraseña nueva, 2FA, monitoreo de crédito. No es paranoia, es mantenimiento de seguridad básico en 2026.
Eurail va a tener que reconstruir confianza. Probablemente van a ofrecer monitoreo de crédito gratis, van a auditar su infraestructura, van a mejorar respuesta a incidentes. Pero mientras tanto, vos tenés que protegerte solo.
Fuentes
- BleepingComputer – Eurail says December data breach impacts 300,000 individuals
- The Record – Eurail reports data breach impacting over 300,000
- HelpNetSecurity – Eurail/Interrail data breach analysis
- Comunicado oficial de Eurail – Data Security Incident
- Cybernews – Eurail data breach and dark web sale analysis