ShinyHunters publica 45 GB de datos del Madison Square Garden, incluidos registros de vigilancia de reconocimiento facial
TL; DR
ShinyHunters filtró 45 GB de datos de MSG después de no cumplir con el plazo de pago del rescate, publicó registros de reconocimiento facial y lanzó una demanda colectiva federal.
El grupo de delitos cibernéticos ShinyHunters ha liberado 45 GB de datos robados del Madison Square Garden Entertainment después de que la compañía incumpliera la fecha límite de rescate del 15 de junio. El volcado incluye registros de vigilancia por reconocimiento facial, evaluaciones de amenazas internas e información personal sobre lo que los piratas informáticos afirman que son 26 millones de registros corporativos y de clientes. Al día siguiente se presentó una demanda colectiva federal.
Según un portavoz de ShinyHunters hablando con 404 Media, la violación ocurrió el 5 de junio. Los datos se publicaron el 16 de junio, días después de que los New York Knicks ganaran las Finales de la NBA en cinco juegos contra los Spurs, atrayendo una intensa atención pública hacia la arena y su propietario, James Dolan.
Lo que hace que esta violación sea inusual es la naturaleza de los datos de vigilancia que expuso. MSG ha implementado tecnología de reconocimiento facial en sus lugares durante años, utilizando el sistema para examinar a los espectadores y, de manera controvertida, prohibir a los abogados de las empresas que han demandado a la empresa. Los archivos filtrados incluyen registros de seguimiento biométrico, información de verificación de antecedentes, evaluaciones de amenazas internas y lo que se describen como expedientes detallados sobre los participantes en la demanda colectiva.
Espacio de coworking de TNW City: donde ocurre tu mejor trabajo
Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.
Una muestra revisada por 404 Media contenía archivos que mencionaban específicamente figuras relacionadas con los Knicks, incluido "DIRECCIÓN,""reclamar la fama,""costo del talento,"e información de contacto directo de individuos o sus representantes. Los datos también incluían etiquetas de riesgo internas que clasificaban a las celebridades: el actor Ben Stiller fue perfilado como "bajo riesgo,"Cuando el rapero A Boogie Wit Da Hoodie" fue marcado como "alto riesgo," según la presentación de la demanda colectiva. En los archivos filtrados no se incluyeron criterios documentados para interpretar la etiqueta.
Los correos electrónicos de los clientes también fueron parte del volcado, incluidos mensajes de fanáticos que expresaron su preocupación por ser identificados erróneamente por las cámaras de reconocimiento facial de MSG. La inclusión de esta correspondencia revela que MSG estaba recopilando y almacenando datos biométricos, así como quejas sobre sus propias prácticas de vigilancia.
Una demanda colectiva, Ávalo vs.MSG EntertainmentLa presentación se realizó el 16 de junio en un tribunal federal de Nueva York. El demandante, Carlos Avalo, asistió a un concierto en MSG en septiembre de 2025 y alegó que sus datos biométricos fueron capturados por el sistema de entrada del lugar. La demanda busca al menos $5 millones en daños preliminares.
La denuncia acusa a MSG de negligencia corporativa por no proteger los datos recopilados de manera agresiva, a pesar de las claras advertencias de los abogados de privacidad y de violaciones anteriores.
Esta es la segunda gran infracción de MSG en menos de un año. En un incidente separado reportado en febrero de 2026, el grupo de ransomware Cl0p aprovechó una vulnerabilidad en una aplicación Oracle eBusiness Suite alojada por un proveedor y utilizada por MSG para nómina y recursos humanos. La infracción comenzó en agosto de 2025, pero no se detectó hasta el 16 de diciembre de 2025 y expuso los nombres, direcciones y números de Seguro Social de aproximadamente 131,070 personas, principalmente empleados y contratistas.
ShinyHunters llevó a cabo una campaña sostenida en 2026, explotando un día cero de Oracle PeopleSoft sin modificar para violar más de 100 organizaciones, dos tercios de ellas universidades. El grupo orquestó previamente el ataque a la cadena de suministro Snowflake de 2024 que comprometió a Ticketmaster y AT&T, y violó la Comisión Europea en marzo de 2026 al filtrar 350 gigabytes de datos de 42 clientes internos.
El ataque MSG sigue el mismo manual que Shinyhunters utilizó contra el sistema de gestión de aprendizaje Canvas de Instructor en abril, donde el grupo reclamó 3,65 terabytes de datos de 275 millones de usuarios en 9.000 escuelas. El patrón es consistente: identificar un objetivo que se encuentra en volúmenes masivos de datos confidenciales, extraerlos, establecer una fecha límite para el rescate y liberarlo cuando expire la fecha límite.
MSG Entertainment no ha confirmado públicamente el alcance de la infracción ni ha comentado sobre la demanda colectiva. El programa de reconocimiento facial de la empresa ha sido objeto de escrutinio desde al menos 2022, cuando llamó la atención por utilizar la tecnología para obstruir a los abogados de empresas involucradas en demandas contra la empresa. El fiscal general de Nueva York investigó y un tribunal estatal dictaminó inicialmente que la política violaba las leyes contra la discriminación, aunque más tarde un tribunal de apelaciones revocó esa decisión.
La violación plantea una pregunta que se extiende más allá de MSG: las empresas que invierten mucho en tecnología de vigilancia para monitorear a su audiencia están creando precisamente los tesoros de datos de alto valor a los que se dirigen grupos como ShinyHunters. La cifra de 26 millones citada por los piratas informáticos no ha sido verificada de forma independiente y el alcance total de los datos biométricos expuestos sigue sin estar claro a medida que continúa la investigación.
