ShinyHunters publicó 45GB de datos del Madison Square Garden, incluidos registros de vigilancia de reconocimiento facial.

      TL;DRShinyHunters filtró 45GB de datos de MSG después de un plazo de rescate perdido, exponiendo registros de reconocimiento facial y provocando una demanda colectiva federal.

      El grupo de cibercriminales ShinyHunters ha publicado 45 gigabytes de datos robados de Madison Square Garden Entertainment después de que la empresa no cumpliera con un plazo de rescate el 15 de junio. La filtración incluye registros de vigilancia de reconocimiento facial, evaluaciones internas de amenazas e información personal de lo que los hackers afirman son 26 millones de registros de clientes y corporativos. Al día siguiente se presentó una demanda colectiva federal.

      La violación ocurrió el 5 de junio, según un portavoz de ShinyHunters que habló con 404 Media. Los datos se publicaron el 16 de junio, días después de que los New York Knicks ganaran las Finales de la NBA en cinco partidos contra los Spurs, poniendo una intensa atención pública en la arena y su propietario, James Dolan.

      Lo que hace que esta violación sea inusual es la naturaleza de los datos de vigilancia que expuso. MSG ha desplegado tecnología de reconocimiento facial en sus recintos durante años, utilizando el sistema para filtrar visitantes y, de manera controvertida, para prohibir a abogados de firmas que han demandado a la empresa. Los archivos filtrados incluyen registros de seguimiento biométrico, información de verificación de antecedentes, evaluaciones internas de amenazas y lo que la demanda colectiva describe como dossieres detallados sobre los asistentes.

      Una muestra revisada por 404 Media contenía archivos que hacían referencia específicamente a personalidades relacionadas con los Knicks, con campos que incluían "dirección", "reconocimiento", "costo del talento" e información de contacto directa para individuos o sus representantes. Los datos también incluían etiquetas de riesgo interno clasificando a las celebridades: el actor Ben Stiller fue perfilado como "bajo riesgo", mientras que el rapero A Boogie wit da Hoodie fue marcado como "alto riesgo", según la presentación de la demanda colectiva. No se incluyeron criterios documentados que explicaran las etiquetas en los archivos filtrados.

      Los correos electrónicos de los clientes también formaron parte de la filtración, incluidos mensajes de fanáticos que habían expresado preocupación por ser mal identificados por las cámaras de reconocimiento facial de MSG. La inclusión de esta correspondencia revela que MSG estaba recopilando y almacenando quejas sobre sus propias prácticas de vigilancia junto con los datos biométricos en sí.

      Se presentó una demanda colectiva, Avalo v MSG Entertainment, el 16 de junio en el tribunal federal de Nueva York. El demandante, Carlos Avalo, asistió a un concierto en MSG en septiembre de 2025 y alega que sus datos biométricos fueron capturados por los sistemas de entrada del recinto. La demanda busca al menos 5 millones de dólares en daños iniciales.

      La queja acusa a MSG de negligencia corporativa al no asegurar los datos que recopila agresivamente, a pesar de las claras advertencias de los defensores de la privacidad y una violación anterior.

      Esta es la segunda gran violación de MSG en menos de un año. En un incidente separado divulgado en febrero de 2026, el grupo de ransomware Cl0p explotó una vulnerabilidad en una aplicación Oracle eBusiness Suite alojada por un proveedor que MSG utiliza para nómina y recursos humanos. Esa intrusión comenzó en agosto de 2025, pero no fue detectada hasta el 16 de diciembre de 2025, y expuso los nombres, direcciones y números de Seguro Social de aproximadamente 131,070 individuos, principalmente empleados y contratistas.

      ShinyHunters ha estado en una campaña sostenida en 2026, explotando un día cero de Oracle PeopleSoft sin parches para violar más de 100 organizaciones, dos tercios de ellas universidades. El grupo orquestó anteriormente los ataques a la cadena de suministro Snowflake de 2024 que comprometieron a Ticketmaster y AT&T, y en marzo de 2026 violó la Comisión Europea, filtrando 350 gigabytes de datos de 42 clientes internos.

      El ataque a MSG sigue el mismo manual que ShinyHunters utilizó contra el sistema de gestión de aprendizaje Canvas de Instructure en abril, donde el grupo reclamó 3.65 terabytes de datos de 275 millones de usuarios en 9,000 escuelas. El patrón es consistente: identificar un objetivo que tiene grandes volúmenes de datos sensibles, exfiltrarlos, establecer un plazo de rescate y publicar cuando el plazo pasa.

      MSG Entertainment no ha confirmado públicamente el alcance de la violación ni ha comentado sobre la demanda colectiva. El programa de reconocimiento facial de la empresa ha enfrentado un escrutinio desde al menos 2022, cuando atrajo la atención por usar la tecnología para prohibir a abogados de firmas involucradas en litigios contra la empresa. El fiscal general de Nueva York investigó, y un tribunal estatal inicialmente dictaminó que la política violaba la ley contra la discriminación, aunque un tribunal de apelaciones más tarde revocó esa decisión.

      La violación plantea una pregunta que se extiende más allá de MSG: las organizaciones que invierten fuertemente en tecnología de vigilancia para monitorear a sus visitantes están creando precisamente el tipo de tesoros de datos de alto valor que grupos como ShinyHunters apuntan. La cifra de 26 millones citada por los hackers no ha sido verificada de manera independiente, y el alcance total de los datos biométricos expuestos sigue siendo incierto a medida que continúa la investigación.