Louvre, Torre Eiffel y Notre‑Dame: piratas informáticos atacan sistema de venta de entradas y paralizan a 3.500 museos
Ataque a Vivaticket: roban datos de millones de asistentes y ahora exigen un rescate
El ataque de marzo a la plataforma de venta de entradas Vivaticket afectó no a una sola empresa, sino a una gran parte de la infraestructura cultural europea. Debido a la intrusión, las interrupciones alcanzaron alrededor de 3.500 museos y monumentos, y resultaron afectados tanto espacios nacionales de Francia como millones de usuarios que reservaban entradas por internet.
Vivaticket opera en 50 países y presta servicio a miles de organizaciones. A través de la plataforma se venden alrededor de 850 millones de entradas al año. Entre sus clientes están el Louvre y otros importantes espacios culturales franceses. Tras el ataque, algunas instituciones perdieron acceso al sistema protegido de reservas en línea, y algunos servicios de registro y venta de entradas, según se informa, aún funcionan con limitaciones.
Según los datos disponibles, el ataque ocurrió el 2 de marzo. La responsabilidad la asumió el grupo RansomHouse. Como punto de entrada, los atacantes mencionan a Irec SAS, la filial francesa de Vivaticket. En su plataforma para publicar filtraciones, el grupo afirmó que la compañía supuestamente intentó ocultar el incidente y amenazó con divulgar datos confidenciales y documentación de proyectos.
Los atacantes afirman haber obtenido nombres y apellidos de los usuarios, direcciones de correo electrónico, historial de compras y reservas, país de residencia, códigos postales, datos técnicos de las cuentas y marcas temporales de inicio de sesión. Una base así ya es valiosa por sí misma: con ella se pueden diseñar escenarios de phishing, falsificar notificaciones de los museos y engañar a las personas para obtener información adicional.
Vivaticket, por su parte, declara que por ahora no hay indicios de acceso a datos financieros. Se trata principalmente de información bancaria y datos de tarjetas. El Ministerio de Cultura francés evalúa las consecuencias con mayor cautela: el daño financiero final aún se calcula a nivel de cada institución y no existe una imagen clara por ahora.
La interrupción afectó no a plataformas abstractas, sino a los lugares más visitados. Entre los que afrontaron problemas en el sistema de reservas en línea se mencionan el Louvre, el museo de Orsay, el museo del quai Branly, la catedral de Notre-Dame de París, el Arco de Triunfo y la Torre Eiffel. Para algunas sedes europeas esto significó la paralización efectiva de las ventas por internet, lo que implica pérdida de ingresos, dificultades con el flujo de visitantes y la necesidad de reorganizar con urgencia la atención al público.
Actualmente Vivaticket trabaja junto con la agencia nacional francesa de ciberseguridad ANSSI y con las fuerzas del orden para comprender la magnitud de la intrusión. Las organizaciones afectadas, de forma paralela, notifican a los visitantes sobre la posible compromisión de datos personales.
Los atacantes cada vez apuntan menos a la organización final y más a un contratista por el que pasa un gran volumen de datos de muchos clientes. En el caso de Vivaticket, la intrusión en una sola plataforma dio acceso potencial a un conjunto concentrado de información de usuarios, recopilada por museos, monumentos y espacios culturales en varios países.
Preocupa también el carácter de la operación. Los grupos extorsionadores hace tiempo que dejaron de limitarse a cifrar la infraestructura. Ahora, para ellos, el robo de datos es igualmente importante: sobre los volúmenes robados ejercen presión sobre la víctima, amenazas de publicación y posteriores campañas de phishing. En ese esquema, la interrupción del servicio es solo la parte visible del problema, y el valor principal para los atacantes reside en la base de visitantes y en la documentación interna.
El caso de Vivaticket vuelve a mostrar que proteger el propio perímetro ya no basta si el eslabón débil es un proveedor externo. Para los museos y otras instituciones del ámbito cultural, el riesgo ahora no solo está ligado a sus sistemas internos, sino a toda la cadena de contratistas que almacenan reservas, entradas y datos personales de los visitantes.