Marriott: un ataque informático deja expuestos los datos de 500 millones de clientes del grupo hotelero

Los datos de 500 millones de clientes del grupo de hoteles Marriott International fueron víctimas de un ataque de un hacker. 

La compañía dijo que la base de datos de reservas de huéspedes de su división Starwood fue violada por un individuo no autorizado.

Según una investigación interna, un atacante pudo acceder a esta red desde el año 2014.

Marriott International compró Starwood en 2016, creando así la cadena de hoteles más grande del mundo con más de 5.800 propiedades.

Las marcas de hoteles de Starwood incluyen W Hotels, Sheraton, Le Méridien y Four Points de Sheraton.

Los hoteles de la marca Marriott, sin embargo, utilizan otro sistema de reservas en una red diferente.

Marriott comunicó que fue alertado por una herramienta de seguridad interna de que alguien estaba intentando acceder a la base de datos de Starwood.

Después de investigar, descubrió que una “parte no autorizada había copiado y cifrado la información”.

¿Qué contiene la base de datos?

 
Los registros contienen información de hasta 500 millones de clientes, estimó la empresa.

En los perfiles de unos 327 millones de ellos había información “combinada” entre datos como nombre, dirección, teléfono, dirección de e-mail, número de pasaporte, información de la cuenta o sobre la llegada y salida al hotel del cliente.

Pero Marriott también confirmó que algunos registros incluían información cifrada de la tarjeta de crédito utilizada para el pago, si bien no podía descartar la posibilidad de que las claves de cifrado también hubieran sido robadas.
 
“Lamentamos profundamente que este incidente haya ocurrido”, dijo la compañía en un comunicado.

“Marriott denunció este incidente a la policía y continúa apoyando la investigación”.

¿Qué hacer si fui uno de los afectados?

El grupo Marriott dijo que contactaría a los clientes afectados cuyas direcciones de correo electrónico estaban en la base de datos de reservas de Starwood.

Los registros afectados contenían detalles de las reservas efectuadas hasta el 10 de septiembre de 2018.

La empresa creó un sitio web para brindar más información a los clientes implicados:

También ofrecerá a los clientes en Estados Unidos y en algunos otros países una suscripción de un año a un servicio de detección de fraudes.
 
Marriott no está seguro de si los atacantes pudieron obtener información de los medios de pago, por lo tanto, tenga en cuenta cualquier transacción sospechosa en su cuenta.

También esté alerta por si los estafadores enviaron correos electrónicos masivos simulando representar al grupo de Marriott.
La compañía anunció que no incluirá archivos adjuntos en sus correos electrónicos de notificación y no solicitará información personal por correo electrónico.

Análisis por Chris Fox, periodista de tecnología de la BBC

No es la violación de datos más grande que hemos visto (ese dudoso honor es para Yahoo!) pero, ciertamente, la de Marriot está entre las peores.

No solo se accedieron y potencialmente se copiaron hasta 500 millones de registros de clientes, sino que los atacantes cibernéticos tuvieron acceso no autorizado desde el año 2014.

Y a pesar de que la información de la tarjeta de pago estaba encriptada, la compañía cree que la clave también puede haber sido robada.

El regulador de datos de Reino Unido confirmó que está investigando, por lo que se avecina la amenaza de una enorme multa por incumplir el Reglamento General de Protección de Datos (RGPD).

Aunque las oficinas centrales del grupo Marriott están en EE.UU., tiene que cumplir con las normas RGPD de la Unión Europea cuando se trata de ciudadanos de la UE.
 
La forma en que fue revelada esta filtración de datos, la notificación a los clientes y el ofrecimiento de servicios de control de fraudes sin duda ayudarán en la complicada situación de Marriott.

Pero los reguladores internacionales pueden interpretar que la compañía fue demasiado lenta a la hora de actuar.