Have I Been Pwned (HIBP) ha incorporado su filtración de datos número 1.000, y su creador, Troy Hunt, aprovecha la cifra para denunciar que los plazos de notificación a los afectados son más largos que nunca, pese a la existencia de regulaciones como el RGPD y la CCPA.
El caso más ilustrativo es el de Carnival Corporation: el operador de cruceros fue atacado por el grupo ShinyHunters, que publicó el 24 de abril de 2026 un total de 8,7 millones de registros, con 7,5 millones de direcciones de correo electrónico y datos de programas de fidelización. Carnival, sin embargo, no comunicó la brecha a las víctimas hasta el 27 de mayo, 43 días después de tener conocimiento del incidente, cuando los datos ya circulaban en foros de hacking y canales de Telegram. Días después, HIBP documentó la filtración de la cadena textil Zara, también víctima de ShinyHunters, con 197.000 direcciones de correo únicas y un retraso en la notificación de 45 días.
Hunt sostiene que la proliferación de demandas colectivas en las primeras fases tras una brecha está empujando a las empresas a retrasar la notificación para blindar su defensa legal. Citando al exagente de la NSA Rob Joyce, el autor afirma que las compañías adoptan una "postura litigiosa" en lugar de priorizar la protección del cliente. Además, recuerda que las propias regulaciones contemplan excepciones que permiten no notificar nunca a los afectados si el incidente no se considera de "alto riesgo" para sus derechos.