La cadena de hoteles más grande del mundo, Marriott
International, reveló hoy que piratas informáticos desconocidos comprometieron
la base de datos de reservas de sus hoteles subsidiarios de Starwood y se
llevaron los detalles personales de unos 500 millones de huéspedes.
Starwood Hotels and Resorts Worldwide fue adquirida por
Marriott International por 13 mil millones de dólares en 2016. La marca incluye
St. Regis, Sheraton Hotels & Resorts, W Hotels, Westin Hotels &
Resorts, Aloft Hotels, cartera de tributos, Element Hotels, Le Méridien Hotels
& Resorts, The Luxury Collection, Four Points by Sheraton y Design Hotels.
Se cree que el incidente es una de las brechas de datos más grandes en la
historia, detrás del hacking de Yahoo de 2016 en el que se robaron casi 3 mil
millones de cuentas de usuarios.
La violación de los datos propiedad de Starwood ha estado
ocurriendo desde 2014 después de que ciertas personas lograron obtener acceso
no autorizado a la base de datos de reservas de Starwood y copiaron y
cifraron la información.
Marriott descubrió la brecha el 8 de septiembre de este año
luego de recibir una alerta de una herramienta de seguridad interna en relación
con un intento de acceso a la base de datos de reservas de Starwood en los
Estados Unidos.
El 19 de noviembre, la investigación sobre el incidente
reveló que hubo acceso no autorizado a la base de datos, que contiene información
de los huéspedes relacionada con las reservas de Starwood el 10 de septiembre
de 2018 o antes.
La base de datos robada de los hotelescontiene información
personal confidencial de casi 327 millones de huéspedes, incluidos sus nombres,
direcciones de correo, números de teléfono, direcciones de correo electrónico,
números de pasaportes, fechas de nacimiento, sexo, información de llegada y
salida, fecha de reserva y preferencias de comunicación.
Aún más alarmante es que, de algunos usuarios, los datos
robados también incluyen números de tarjetas de pago y fechas de vencimiento de
las tarjetas de pago. Sin embargo, según Marriott: «los números de las
tarjetas de pago se cifraron utilizando el cifrado estándar de cifrado avanzado
(AES-128)». Los atacantes necesitan dos componentes para descifrar los
números de las tarjetas de pago, pero Marriott no ha podido descartar la
posibilidad de que hayan tomado ambos.
Marriott confirmó que su investigación sobre el incidente
solo identificó el acceso no autorizado a la red de Starwood separada y no a la
red de Marriott. También ha comenzado a informar a los clientes potencialmente
afectados del incidente de seguridad. La compañía hotelera notificó a las autoridades reguladoras
y también a la policía el incidente y continúa apoyando su investigación.
Debido a que la violación de datos está sujeta al Reglamento
General de Protección de Datos (GDPR) de la Unión Europea, Marriott podría
enfrentarse a una multa máxima de más de 19 millones de euros o el 4 por ciento de
sus ingresos globales anuales, el que sea mayor.