Datos de 500 millones de huéspedes, en riesgo

Es probable que se hayan robado los datos privados de hasta 500 millones de huéspedes del hotel Starwood en uno de los hackeos más grandes en la historia corporativa, algo que su matriz Marriott International dijo que quedaron expuestos los números de pasaporte y tarjetas de crédito.

Marriott, el grupo hotelero más grande del mundo, dijo que en septiembre se enteró de la fuga de información de la base de datos de reservaciones de los huéspedes de Starwood, pero que en una investigación posterior se encontró que el “acceso no autorizado” a los datos se remonta a 2014.

El grupo hotelero dijo que quedó expuesta alrededor de 327 millones de los 500 millones de los clientes afectados alguna combinación de su nombre, dirección del domicilio, número telefónico, número de pasaporte, número de reservación de Starwood Preferred Guest (Huésped Preferencial Starwood), fecha de nacimiento y otro tipo de información de identificación.

Si bien los números de tarjeta de pago y las fechas de vencimiento que se encuentran en la base de datos de Starwoods están encriptados, tal vez se “tomaron” los componentes necesarios para decodificar la información en el ataque, dijo Marriott.

“No cumplimos con lo que merecen nuestros clientes y con lo que esperamos de nosotros”, dijo Arne Sorenson, director ejecutivo de Marriott. “Hacemos todo lo posible para apoyar a nuestros huéspedes, y utilizamos las lecciones aprendidas para mejorar en el futuro”.

Al parecer la brecha de datos es la más grande desde que Yahoo reveló el año pasado que más de 3 mil millones de sus usuarios fueron hackeados en 2013.

La oficina del fiscal general de Nueva York dijo que se abrió una investigación sobre la brecha de información, pero Marriott podría resultar más vulnerable en la Unión Europea, donde una ley de protección de datos que se promulgó recientemente podría dejar a la compañía expuesta a millones de dólares en multas.

El hackeo sería por mucho el más grande desde que en mayo entró en vigor la ley de la Unión Europea, y la Oficina del Comisionado de Información del Reino Unido, donde las operaciones europeas de Marriott tienen su sede, dijo que “lleva a cabo investigaciones”, y considera que cumplió con todos los requisitos de información bajo la nueva ley.

Sin embargo sus acciones cayeron 4.8 por ciento para cotizar a 115.94 dólares en las operaciones de final de la tarde de Nueva York.

Marriott, que compró la cadena Starwood en 2016 por 13 mil 600 millones de dólares (mdd), dijo que si bien detectó por primera vez la fuga en septiembre, solamente determinó el alcance del problema la semana pasada, cuando comenzó a notificar a las autoridades.

Aseguró que trabaja con sus proveedores de seguros y que espera dar a conocer los costos relacionados con el incidente. Pero la compañía dijo que no anticipa que la brecha tenga “un impacto en su salud financiera a largo plazo”.

Jason Hill, investigador principal de CyberInt, una compañía que monitorea la llamada red oscura (dark web) que a menudo utilizan los estafadores para compartir información, dijo que no ha visto los datos de clientes de Marriott en ninguno de los sitios web ocultos que monitorea.

“Con la cantidad de datos robados, si tienen un conjunto completo de información de identificación personal y lo combinan con los detalles de las tarjetas de pagos, esto tiene un gran valor de reventa en la economía subterránea”, dijo Hill. “Pero sería demasiado ‘caliente’ que alguien lo intente y se maneje como un gran bloque”.

En 2014 hubo una serie de hackeos dirigidos a hoteles en busca de información de tarjetas de crédito y otros datos de clientes, cuando aparentemente comenzó la fuga de información de Starwood. Los ataques iniciales se centraron en la propagación de software malicioso a través de sistemas de puntos de venta, como los que se utilizan en las cajas registradoras en las tiendas minoristas.

En febrero de 2014, White Lodging Services Corporation, una compañía de gestión de hoteles también reportó una fuga.

Situación preocupante

James Sullivan, experto en ciberseguridad de Royal United Services Institute, dijo que es “preocupante” que Marriott no descarte que la codificación que utilizó para mantener la confidencialidad de los detalles de las tarjetas de pago haya sido descifrado, principalmente si se piensa en los altos niveles de encriptación que debieron utilizar. Matt Middleton-Leal, gerente general en Europa de la firma TI Netwrix, dijo que la declaración sobre la toma de claves sugiere que el grupo almacenó mucha información en el mismo sistema.