La cadena de hoteles Marriott International ha sido multada por la Oficina del Comisionado de Información británica (ICO) con 99,2 millones de libras por una violación de datos llevada a cabo en noviembre de 2018. Tras la multa de 183 millones de libras impuesta a British Airways, es probable que la cantidad impuesta a Marriott sea la segunda más grande hasta ahora dictada por las nuevas regulaciones de privacidad de datos de GDPR.
La violación revelada en noviembre de 2018 involucró la filtración de 500 millones de registros de clientes de la base de datos de reservas de huéspedes de la división Starwood Hotels and Resorts de Marriott. Los atacantes, desconocidos pero que se cree que tienen vínculos con el Ministerio de Seguridad del Estado de China, parecen haber tenido acceso al sistema desde 2014.
La organización solo se dio cuenta del compromiso en septiembre de 2018 luego de una alerta de una herramienta de seguridad interna sobre un intento de obtener acceso al sistema de reservas. La compañía afirma que “contrató rápidamente” a un grupo de expertos en seguridad para investigar el ataque aparente y “se enteró durante la investigación que había habido acceso no autorizado a la red de Starwood desde 2014”.
Se descubrieron registros de comunicaciones cifradas y, cuando se descifraron el 19 de noviembre de 2018, se encontró que contenía el contenido de la base de datos de reservas de invitados de Starwood: 500 millones de registros en total. Los registros de clientes comprometidos incluían direcciones de correo, números de teléfono, direcciones de correo electrónico y números de pasaporte. También se encontraron los detalles de la tarjeta de pago, pero estos, según la organización, se habían cifrado con AES-128.
“Estamos decepcionados con las intenciones sancionatorias de la ICO, que impugnaremos”, dijo el gerente general de Marriott International, Arne Sorenson, en un comunicado lanzado por el grupo. Y continuó: “Marriott ha estado cooperando con la ICO a lo largo de la investigación del incidente, que implicó un ataque criminal contra la base de datos de reservas de Starwood. Lamentamos profundamente que este incidente haya ocurrido. Nos tomamos muy en serio la privacidad y seguridad de la información de los huéspedes”.
La base de datos de reservas de invitados de Starwood que fue objeto del ataque ya no se usa para operaciones comerciales, agregó la compañía. Sin embargo, este parche no parece ser suficiente para la ICO. “El GDPR deja claro que las organizaciones deben ser responsables de los datos personales que poseen”, dijo la Comisionada de Información, Elizabeth Denham. Y añadió: “Los datos personales tienen un valor real, por lo que las organizaciones tienen el deber legal de garantizar su seguridad, al igual que lo harían con cualquier otro activo. Si eso no sucede, no dudaremos en tomar medidas firmes cuando sea necesario para proteger los derechos del público”.