Un actor de amenazas asegura haber obtenido 4,3 millones de registros de usuarios de Centauro Rent a Car, la empresa española de alquiler de vehículos con presencia en varios países europeos. La supuesta filtración se ha difundido en la dark web, donde el responsable de anunciarla afirma que extrajo la información la semana pasada y ha publicado una muestra para tratar de acreditar el alcance del incidente.
Entre los datos presuntamente comprometidos figuran nombres completos, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, direcciones físicas completas, detalles de permisos de conducir, números de identificación fiscal, género, idioma preferido y estados de cuenta y reservas. El actor que se atribuye la intrusión sostiene además que la información estaba almacenada en formato JSON.
Una base de datos sensible vinculada a clientes de la compañía
Si se confirma la autenticidad de la filtración, el alcance sería relevante por la cantidad y el tipo de información expuesta. La combinación de datos personales, fiscales y vinculados a reservas y permisos de conducir situaría este caso entre los incidentes de mayor impacto conocidos en el ámbito del alquiler de vehículos.
Centauro Rent a Car fue fundada en la década de los 70 en la Comunidad Valenciana y mantiene actividad internacional en Portugal, Italia y Grecia. La compañía opera en un sector especialmente sensible por el volumen de documentación identificativa que manejan las empresas de renting y alquiler vacacional.
"Desde Escudo Digital nos hemos puesto en contacto con la compañía para esclarecer lo sucedido y actualizaremos más información si recibimos respuesta." - Escudo Digital
Un sector bajo presión por las brechas de seguridad
El caso se enmarca en una cadena de incidentes recientes que han afectado a empresas del mismo ámbito. El año pasado, Hertz sufrió una brecha que afectó a clientes en Europa, Estados Unidos, Australia y Canadá. En aquel episodio, los atacantes aprovecharon vulnerabilidades en un proveedor externo para acceder a datos como nombres, licencias de conducir y números de tarjetas de pago. El grupo criminal CL0P fue señalado como responsable.
También Avis registró en 2024 un acceso no autorizado a sistemas internos que comprometió datos de casi 300.000 clientes. En ese incidente quedaron expuestos datos como licencias de conducir y fechas de nacimiento. Después, la empresa ofreció servicios de monitorización de identidad y anunció un refuerzo de sus medidas de seguridad.
No todos los episodios recientes han terminado confirmándose. En el caso de Europcar, la supuesta filtración de datos de millones de usuarios resultó ser falsa y generada mediante inteligencia artificial. Aun así, el sector sigue bajo vigilancia. La plataforma de movilidad compartida Zoomcar también ha sufrido accesos no autorizados que comprometieron datos de millones de usuarios.
Por ahora, no consta una confirmación pública de la compañía sobre la autenticidad de los datos difundidos. Mientras no haya una verificación oficial, el caso se mantiene bajo la cautela habitual en este tipo de anuncios, aunque la publicación de una muestra y el volumen atribuido a la brecha vuelven a poner el foco en la seguridad de la información que manejan las empresas de alquiler de vehículos.