1 de mayo de 2026 US confirmed
EE.UU. · Canvas/Instructure: la mayor brecha educativa conocida; la empresa pagó el rescate
El grupo ShinyHunters accedió hacia el 25 de abril de 2026 a la plataforma educativa Canvas (Instructure) a través de una vulnerabilidad en el servicio Free-For-Teacher, divulgándose la brecha el 1 de mayo y registrándose una segunda oleada contra unos 330 portales el 7 de mayo. Los atacantes afirman haber extraído 3,65 TB con unos 275 millones de registros de 8.809 instituciones, lo que la convertiría en la mayor brecha del sector educativo conocida; las cifras de alcance provienen del atacante y no han sido verificadas de forma independiente. El 11 de mayo, Inside Higher Ed confirmó que Instructure alcanzó un acuerdo y pagó el rescate, decisión que reabrió el debate sobre si pagar protege a los afectados o financia la siguiente campaña.
1 de junio de 2025 DE confirmed
Vodafone Alemania: 45 M€ en dos multas por fallos de seguridad y supervisión de terceros
El comisionado federal de protección de datos de Alemania multó a Vodafone GmbH con 45 millones de euros combinados en 2025: 30 millones por fallos de seguridad en la autenticación del portal MeinVodafone que permitían acceso no autorizado a perfiles eSIM, y 15 millones por no supervisar adecuadamente contratos con agencias externas.
1 de abril de 2024 US confirmed
Verizon: 46,9 M$ de multa de la FCC por compartir datos de localización de clientes
La FCC multó a Verizon con 46,9 millones de dólares en abril de 2024, como parte de una acción conjunta contra las grandes operadoras por compartir datos de localización de clientes sin consentimiento adecuado. El caso ilustra el frente regulatorio de la privacidad de la localización en EE.UU.
26 de agosto de 2024 NL confirmed
Uber: 290 M€ de multa de la autoridad neerlandesa por transferir datos de conductores a EE.UU.
En agosto de 2024, la autoridad neerlandesa de protección de datos multó a Uber con 290 millones de euros por transferir datos sensibles de conductores europeos a Estados Unidos sin las garantías adecuadas. Es una de las mayores multas de protección de datos del año.
9 de octubre de 2024 US confirmed
Marriott: 52 M$ de acuerdo con 50 estados por una brecha multi-año (131 millones de afectados)
Marriott alcanzó en 2024 un acuerdo de 52 millones de dólares con los 50 estados de EE.UU. por una brecha de datos de varios años que afectó a más de 131 millones de usuarios de su base de reservas Starwood. Las acusaciones incluían el incumplimiento de leyes de protección al consumidor y de estándares de seguridad de datos.
22 de julio de 2019 US confirmed
Equifax: hasta 700 M$ de acuerdo por la brecha de 2017 que sigue vinculando a la empresa
La brecha de Equifax de 2017 expuso datos crediticios y de identidad de unos 147 millones de personas. El acuerdo posterior con la FTC y los estados alcanzó hasta 700 millones de dólares. La empresa sigue sujeta a obligaciones derivadas de ese acuerdo, que aparecen como factor de riesgo en sus registros ante la SEC años después.
1 de septiembre de 2024 NL confirmed
Clearview AI: 30,5 M€ por construir una base de reconocimiento facial ilegal con scraping
En septiembre de 2024, la autoridad neerlandesa multó a Clearview AI con 30,5 millones de euros por construir una base de reconocimiento facial ilegal scrapeando miles de millones de imágenes de internet sin consentimiento. Además de la multa, la DPA neerlandesa estudia responsabilizar personalmente a los directivos y prevé pagos adicionales si las infracciones continúan.
20 de mayo de 2026 US confirmed
EE.UU. · Charter Communications: la brecha de 4,9 millones que solo se conoció tras la filtración
La brecha de Charter Communications (marca Spectrum) se hizo pública únicamente después de que el grupo de extorsión ShinyHunters listara a la empresa en su sitio de filtraciones y publicara los datos al no recibir el rescate. El servicio Have I Been Pwned confirmó 4,9 millones de direcciones de correo únicas afectadas, con nombres, teléfonos y direcciones físicas. Charter confirmó el incidente pero disputó el alcance reclamado por los atacantes (más de 42 millones de registros y datos CPNI), afirmó que no se exfiltró información personal sensible y, según reportes, aún no había emitido notificaciones individuales a los clientes afectados. El ataque habría comenzado con una llamada de phishing de voz (vishing).
27 de mayo de 2026 US confirmed
EE.UU. · Carnival: casi 6 millones de afectados y notificación seis semanas después de detectar la brecha
Carnival Corporation, el mayor operador de cruceros del mundo, notificó a 5.995.277 clientes una brecha de datos. Según su propia cronología, la intrusión ocurrió el 10 de abril, su equipo de seguridad detectó la actividad no autorizada el 14 de abril —un actor usó ingeniería social para engañar a un empleado— y el 22 de abril confirmó que se habían copiado datos personales. Sin embargo, las cartas de notificación y la página del incidente no salieron hasta el 27 de mayo de 2026, casi seis semanas después de la detección; la empresa atribuyó el retraso al análisis de los archivos para asociar los datos a cada persona. Los datos incluían nombres, direcciones, fechas de nacimiento y números de identificación oficial (licencias y pasaportes). El grupo ShinyHunters reclamó la autoría y, tras fracasar la extorsión, publicó los datos.
19 de marzo de 2026 US confirmed
EE.UU. · Aura: la empresa de protección de identidad que sufrió su propia brecha de 900.000 registros
Aura, empresa de seguridad digital de consumo con sede en Massachusetts que vende protección contra el robo de identidad y monitoreo de crédito, divulgó en marzo de 2026 una brecha que afectó a unos 900.000 registros. Un tercero no autorizado accedió a una cuenta de empleado mediante un ataque dirigido de phishing de voz y obtuvo nombres, direcciones, teléfonos, correos y datos de una base de marketing. El grupo ShinyHunters reclamó la autoría. El caso atrajo atención por su ironía: una compañía que vende protección de identidad fue ella misma vulnerada. La empresa divulgó el incidente públicamente.
1 de septiembre de 2024 US confirmed
23andMe: 30 M$ de acuerdo por una brecha de datos genéticos sin autenticación multifactor
La empresa de pruebas genéticas 23andMe alcanzó en 2024 un acuerdo de 30 millones de dólares tras una demanda colectiva por una brecha que expuso datos de ascendencia de clientes. Las cuentas comprometidas no estaban protegidas con autenticación multifactor y los atacantes habrían usado credenciales reutilizadas. 23andMe negó haber cometido infracción en el acuerdo.