LONDRES – El grupo hotelero Marriott ha revelado que sufrió una de las violaciones de datos corporativos más grandes de la historia. Los atacantes robaron datos personales de 500 millones de clientes contenidos en la base de datos de reservas utilizada por Starwood Group de la compañía. Los datos robados se relacionaron con reservas en hoteles Starwood desde 2014 hasta el 10 de septiembre de 2018. Incluye información altamente confidencial como datos de tarjetas de crédito y números de pasaporte.
El ciberataque de Marriott duró 4 años
Al anunciar la violación de seguridad, Marriott dijo que los piratas informáticos habían tenido acceso no autorizado a su red durante cuatro años. En un comunicado emitido el viernes, el grupo hotelero dijo:
El 8 de septiembre de 2018, Marriott recibió una alerta de una herramienta de seguridad interna con respecto a un intento de acceder a la base de datos de reservas de huéspedes de Starwood en los Estados Unidos. Marriott contrató rápidamente a los principales expertos en seguridad para ayudar a determinar qué ocurrió. Marriott se enteró durante la investigación de que había habido acceso no autorizado a la red Starwood desde 2014.
La investigación terminó el 19 de noviembre, dijo Marriott. Esto significa que el grupo hotelero tardó 20 días en confirmar el ataque y notificarlo a sus huéspedes.
Marriott también dijo que para 327 millones de los 500 millones de huéspedes afectados, la información robada incluía alguna combinación de datos altamente sensibles como dirección, número de teléfono, correo electrónico y número de pasaporte. En el momento de escribir este artículo, Marriott no pudo confirmar si los piratas informáticos habían podido descifrar los números de tarjetas de crédito de los clientes.
Sin embargo, es la duración del ataque lo que será más impactante para muchas personas. Varios expertos en ciberseguridad han señalado que el hecho de que los atacantes pudieran permanecer en la red de Marriott durante cuatro años indica fallas importantes en su configuración de ciberseguridad. El director de tecnología de Nominet, Simon McCalla, dijo Computadora semanal: “Es vital garantizar que los sistemas de seguridad y monitoreo de amenazas puedan detectar las amenazas cuando interactúan por primera vez con sus sistemas críticos”.
Responder al ataque
Arne Sorenson, presidente y director ejecutivo de Marriott, dijo: “Lamentamos profundamente que haya ocurrido este incidente. No cumplimos con lo que nuestros huéspedes merecen y lo que esperamos de nosotros mismos. Estamos haciendo todo lo posible para ayudar a nuestros huéspedes y utilizando las lecciones aprendidas para avanzar mejor “.
Marriott ha tomado una variedad de medidas para ayudar a los huéspedes afectados por el ataque. Ha establecido un sitio web y un centro de llamadas dedicados y está notificando a los huéspedes afectados por correo electrónico. También ofrece a los huéspedes una suscripción gratuita de un año al software de seguridad de datos Webwatcher.
“Estamos dedicando los recursos necesarios para eliminar gradualmente los sistemas Starwood y acelerar las mejoras de seguridad en curso en nuestra red”, dijo el Sr. Sorenson. Marriott compró Starwood en 2016. El grupo Starwood incluye St. Regis, Westin, Sheraton y W Hotels.
Grandes multas encabezaron el camino de Marriott
Como resultado de este incidente, la empresa puede haber violado las nuevas reglas europeas de protección de datos introducidas a través del Reglamento General de Protección de Datos (GDPR). El reglamento significa que una empresa puede recibir una multa de hasta el 4% de su facturación anual por violaciones de datos.
Un portavoz de la Oficina del Comisionado de Información del Reino Unido dijo: “Hemos recibido un informe de violación de datos de los hoteles Marriott que involucra a sus hoteles Starwood y estamos haciendo consultas. Aconsejamos a las personas que puedan haber sido afectadas que estén atentas y sigan los consejos de los sitios web de la ICO y del Centro Nacional de Seguridad Cibernética sobre cómo pueden protegerse a sí mismos y a sus datos en línea “.
