Una nueva filtración de datos vuelve a poner el foco sobre la seguridad en los servicios digitales ligados al mundo automotor. CarGurus, el mercado online para comprar, vender y financiar vehículos, fue objetivo de un ataque que terminó con el robo de información personal de millones de clientes. Según informó Have I Been Pwned, el sitio de notificación de brechas de seguridad del investigador Troy Hunt, el incidente afectó a 12,5 millones de cuentas.

Los datos sustraídos incluyen nombres, correos electrónicos, números de teléfono y direcciones físicas. En otras palabras, información suficiente como para alimentar campañas de phishing y suplantación de identidad con un alto grado de credibilidad. En este tipo de casos, el riesgo no se limita a un correo sospechoso: cuando el atacante tiene datos reales y consistentes, los intentos de engaño suelen ser mucho más difíciles de detectar.

Have I Been Pwned atribuyó la brecha al grupo ShinyHunters, conocido por su habilidad en ingeniería social. Este tipo de ataques no depende únicamente de “romper” sistemas con técnicas sofisticadas, sino de explotar el factor humano: por ejemplo, llamar a mesas de ayuda y hacerse pasar por empleados que necesitan restablecer contraseñas. En el pasado, el grupo ha sido vinculado con la extracción de grandes volúmenes de datos de varias universidades y con más de mil millones de registros de clientes de Salesforce, incluyendo compañías como Google y Workday. También se han atribuido públicamente hacks recientes que el grupo afirmó haber realizado contra Pornhub y la fintech Figure.

En el caso de CarGurus, el material publicado no se limita a datos de contacto. De acuerdo con Have I Been Pwned, también se incluyeron mapeos de ID de cuentas de usuario, datos de solicitudes de precalificación financiera, e información de cuentas y suscripciones de concesionarios. Esa combinación amplía el alcance del impacto: no solo afecta a usuarios finales, sino potencialmente a actores del ecosistema comercial que opera dentro de la plataforma.

El episodio llega, además, en un contexto de repetición: es la segunda brecha relacionada con el sector automotor reportada por Have I Been Pwned en lo que va del año. El mes anterior, el sitio informó que se publicó información supuestamente proveniente de CarMax tras un intento fallido de extorsión, con unos 431.000 correos únicos junto con nombres, teléfonos y direcciones.

TechCrunch indicó que contactó a CarGurus para obtener comentarios y que actualizará la información si la empresa responde. Mientras tanto, el caso funciona como recordatorio incómodo: incluso plataformas consolidadas —CarGurus fue fundada en 2006— pueden convertirse en un objetivo atractivo cuando concentran millones de perfiles y datos sensibles vinculados a decisiones financieras.