ShinyHunters filtra 45GB de datos de Madison Square Garden

¿Qué ha ocurrido?

El 20 de junio de 2025, el grupo de ciberdelincuentes ShinyHunters publicó en un foro de la dark web un archivo comprimido de 45 gigabytes con datos robados a Madison Square Garden Entertainment (MSG). La filtración se produjo después de que la empresa no cumpliera con el plazo de rescate del 15 de junio, según informó The Next Web. Los hackers afirman que el conjunto de datos incluye 26 millones de registros de clientes y corporativos, aunque esta cifra no ha sido verificada de forma independiente. Entre los datos filtrados se encuentran registros de vigilancia por reconocimiento facial, evaluaciones internas de amenazas, información personal como nombres, direcciones, correos electrónicos y, posiblemente, datos financieros. Una demanda colectiva federal ya ha sido presentada en el Tribunal de Distrito de EE. UU. para el Distrito Sur de Nueva York, alegando negligencia y violaciones de la Ley de Privacidad del Consumidor de California (CCPA) y otras leyes.

¿Por qué es importante?

Esta filtración es significativa por varias razones. En primer lugar, la inclusión de datos de reconocimiento facial plantea serias preocupaciones sobre la privacidad y la vigilancia masiva. MSG ha sido criticada anteriormente por su uso agresivo de esta tecnología, incluyendo la prohibición de entrada a abogados involucrados en demandas contra la empresa, como se documentó en un caso de 2023. En segundo lugar, el volumen de datos (45 GB) y el número de registros (26 millones) la convierten en una de las mayores filtraciones del año, comparable a la brecha de datos de Ticketmaster de 2024 que expuso 560 millones de registros. Además, la publicación de evaluaciones internas de amenazas podría exponer vulnerabilidades de seguridad que otras organizaciones podrían explotar, como puntos ciegos en la vigilancia o procedimientos operativos. La filtración también subraya la creciente amenaza de los grupos de ransomware que combinan el robo de datos con la extorsión, una táctica que ha ido en aumento desde 2020.

Consecuencias y contexto

Las consecuencias inmediatas incluyen la demanda colectiva federal, que busca daños compensatorios y punitivos por la exposición de datos biométricos y personales. A largo plazo, la confianza de los clientes en MSG podría verse afectada, especialmente en lo que respecta al uso de reconocimiento facial. Este incidente se suma a una serie de filtraciones de alto perfil atribuidas a ShinyHunters, que anteriormente atacó a empresas como Microsoft (en 2021, exponiendo 500 GB de datos), Tokopedia (91 millones de registros en 2020) y Wattpad (270 millones de registros en 2020). La filtración también pone de relieve la vulnerabilidad de los sistemas de vigilancia biométrica, que han sido objeto de escrutinio regulatorio en la Unión Europea y varios estados de EE. UU. La demanda argumentará que MSG no implementó medidas de seguridad adecuadas, como el cifrado de datos biométricos, que según la CCPA deben ser protegidos con estándares de seguridad razonables.

¿Qué deben saber los lectores?

• Si eres cliente o empleado de MSG, tus datos personales (nombre, dirección, correo electrónico, posiblemente datos financieros) podrían estar comprometidos. Además, los registros de reconocimiento facial pueden incluir imágenes y metadatos de vigilancia, como la hora y ubicación de cada detección.
• Monitorea tus cuentas bancarias y de crédito, y considera congelar tu crédito si sospechas de uso indebido. Según la FTC, las víctimas de filtraciones de datos tienen derecho a informes de crédito gratuitos.
• Estate atento a posibles estafas de phishing que utilicen esta filtración como señuelo, ya que los ciberdelincuentes a menudo aprovechan los datos filtrados para ataques dirigidos.
• La filtración de evaluaciones de amenazas internas podría ser utilizada por otros actores maliciosos para planificar ataques físicos o cibernéticos contra las instalaciones de MSG.

“La publicación de datos de reconocimiento facial es especialmente alarmante, ya que no solo expone información personal, sino que también revela patrones de comportamiento y ubicaciones. Esto podría permitir la vigilancia inversa o el seguimiento de individuos sin su consentimiento.” — Analista de ciberseguridad de TheVortiq.

Análisis técnico

El dump de 45 GB incluye, según los hackers, 26 millones de registros. Sin embargo, no se ha verificado de forma independiente la cifra exacta ni la naturaleza de todos los datos. La inclusión de registros de vigilancia facial sugiere que MSG almacena datos biométricos de los asistentes, lo que podría violar leyes de privacidad como la CCPA o el GDPR si se aplica a ciudadanos europeos. La demanda colectiva argumentará que MSG no implementó medidas de seguridad adecuadas para proteger estos datos sensibles. Según expertos en seguridad, los datos biométricos deben ser almacenados con cifrado de extremo a extremo y hash seguro, prácticas que MSG aparentemente no siguió. El grupo ShinyHunters afirmó haber accedido a los sistemas a través de credenciales de un proveedor externo, lo que subraya los riesgos de la cadena de suministro. La filtración también incluye evaluaciones internas de amenazas, que detallan vulnerabilidades en la seguridad física y cibernética de MSG, como la falta de segmentación de redes y controles de acceso deficientes.

Lecciones para empresas

Este incidente refuerza la necesidad de: (1) minimizar la recopilación de datos biométricos, adoptando un enfoque de privacidad por diseño; (2) cifrar datos sensibles tanto en reposo como en tránsito, utilizando estándares como AES-256; (3) realizar auditorías de seguridad periódicas, incluyendo pruebas de penetración y evaluaciones de riesgos de terceros; y (4) tener un plan de respuesta a incidentes que incluya la notificación rápida a los afectados, cumpliendo con plazos legales como las 72 horas del GDPR. Además, las empresas que utilizan reconocimiento facial deben evaluar los riesgos legales y reputacionales asociados, especialmente a la luz de las crecientes restricciones en ciudades como San Francisco y Portland, que han prohibido su uso por parte de agencias gubernamentales. La filtración también destaca la importancia de la higiene de contraseñas y la autenticación multifactor para prevenir accesos no autorizados. Las empresas deberían considerar la implementación de un programa de bug bounty para identificar vulnerabilidades antes de que los atacantes las exploten.