Netcrook Logo
👤 AUDITWOLF
🗓️ 24 Feb 2026   🌍 North America

Robo de Datos Automotrices: ShinyHunters filtra millones de registros de usuarios de CarGurus

Un notorio grupo de ciberextorsión publica información sensible de millones de cuentas de CarGurus, exponiendo a los usuarios del mercado automotriz a mayores riesgos de fraude.

La autopista digital acaba de encontrar un bache: CarGurus, uno de los mayores mercados automotrices en línea del mundo, se ha convertido en el más reciente trofeo del sindicato cibercriminal ShinyHunters. En un acto descarado, el grupo publicó un archivo de 6.1GB que contiene datos personales de más de 12 millones de cuentas de CarGurus, poniendo a usuarios de Estados Unidos, Canadá y el Reino Unido directamente en la mira de los ciberdelincuentes.

Datos Rápidos

  • ShinyHunters filtró 12.4 millones de registros de usuarios de CarGurus en línea el 21 de febrero.
  • Los datos filtrados incluyen correos electrónicos, nombres, direcciones, números de teléfono y detalles sensibles de solicitudes de financiamiento.
  • Aproximadamente 3.7 millones de registros son exposiciones nuevas; el resto ya se había filtrado previamente.
  • CarGurus no ha reconocido oficialmente la brecha al momento de la publicación.
  • Expertos advierten sobre un aumento en intentos de phishing y fraude dirigidos a los usuarios afectados.

Dentro de la Brecha: Cómo se expusieron 12 millones de usuarios

El grupo ShinyHunters, un nombre que provoca escalofríos en el mundo de la ciberseguridad, sumó a CarGurus a su creciente lista de víctimas de alto perfil en febrero. Los atacantes publicaron una enorme cantidad de datos de usuarios - 12.4 millones de registros - en un foro público, haciéndolos descargables gratuitamente para cualquiera con intenciones maliciosas.

Los registros robados ofrecen un retrato detallado de la base de usuarios de CarGurus: direcciones de correo electrónico e IP, nombres completos, números de teléfono, direcciones físicas, IDs de usuario y, lo más alarmante, datos y resultados de solicitudes de financiamiento. Incluso información de concesionarios y suscripciones fue expuesta. Para ladrones de identidad y estafadores, este conjunto de datos es una mina de oro.

Según HaveIBeenPwned (HIBP), un servicio confiable de monitoreo de brechas, alrededor del 70% de los registros filtrados ya habían aparecido en filtraciones previas. Sin embargo, los 3.7 millones de registros restantes son completamente nuevos, proporcionando a los ciberdelincuentes munición fresca para campañas de phishing dirigidas y ataques de ingeniería social.

CarGurus, que presume de 40 millones de visitantes mensuales y opera en Norteamérica y el Reino Unido, aún no ha emitido una declaración pública sobre el incidente. Su silencio deja a los usuarios en la oscuridad respecto al alcance de la brecha y las medidas que se están tomando para proteger sus datos.

ShinyHunters es conocido por utilizar ingeniería social - especialmente el phishing por voz, o "vishing" - para comprometer organizaciones. Engañando a empleados para que revelen credenciales o instalen aplicaciones maliciosas OAuth, el grupo obtiene acceso profundo a sistemas corporativos, incluyendo plataformas en la nube como Salesforce y Microsoft 365. En campañas previas, este método les permitió extraer enormes cantidades de datos de clientes con precisión quirúrgica.

Ahora, con los datos de usuarios de CarGurus circulando abiertamente, el riesgo ya no es solo teórico. Expertos instan a cualquier persona con una cuenta de CarGurus a estar alerta ante correos, llamadas o mensajes sospechosos, especialmente aquellos que hagan referencia a compras de autos, financiamiento o detalles de cuenta. Las consecuencias de esta brecha podrían sentirse durante meses - o incluso años - mientras los criminales aprovechan la información para cometer fraudes y robos de identidad.

Consecuencias: A la defensiva

La brecha de CarGurus es un recordatorio aleccionador de que incluso empresas tecnológicas consolidadas pueden caer ante ciberextorsionadores decididos. Mientras ShinyHunters continúa arrasando el panorama digital, tanto organizaciones como consumidores deben permanecer vigilantes. Por ahora, millones de compradores de autos enfrentan un desvío no deseado: navegar los riesgos del robo de identidad tras una de las mayores filtraciones de datos del año.

WIKICROOK

  • Brecha de datos: Una brecha de datos ocurre cuando partes no autorizadas acceden o roban información privada de una organización, lo que a menudo conduce a la exposición de datos sensibles o confidenciales.
  • Phishing: El phishing es un delito cibernético en el que los atacantes envían mensajes falsos para engañar a los usuarios y que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Ingeniería social: La ingeniería social es el uso del engaño por parte de hackers para que las personas revelen información confidencial o proporcionen acceso no autorizado a sistemas.
  • Aplicación OAuth: Una aplicación OAuth es una app de terceros que accede de forma segura a los datos de un usuario en otra plataforma, con permiso del usuario, utilizando el protocolo OAuth.
  • Robo de credenciales: El robo de credenciales es el hurto de datos de inicio de sesión, como nombres de usuario y contraseñas, a menudo a través de sitios web falsos o correos electrónicos engañosos.
CarGurus data breach ShinyHunters
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news