Marriott ha acordado pagar $52M y mejorar sus prácticas de seguridad de datos. Las violaciones se remontan a 2014, y Marriott pagará las multas.
Los acuerdos anunciados tienen dos vertientes. Una resolución con 49 fiscales generales de EE.UU. y el Distrito de Columbia obliga al gigante hotelero a pagar $52 millones a estas entidades. Por otra parte, la Comisión Federal de Comercio exige que Marriott y su filial Starwood apliquen un "sólido programa de seguridad de la información". Además, la empresa ha acordado que proporcionará una vía para que todos los clientes puedan solicitar la eliminación de información personal relacionada con su dirección de correo electrónico o su número de cuenta de fidelización.
Samuel Levine, Director de la Oficina de Protección del Consumidor de la FTC, afirmó que las deficientes políticas de seguridad de Marriott provocaron múltiples violaciones que afectaron a cientos de millones de consumidores.
Las acciones de hoy de la FTC, en coordinación y con nuestros socios estatales, garantizarán que Marriott mejore sus prácticas de seguridad de datos en los hoteles de todo el mundo.
Connecticut fue el co-líder de la demanda multiestatal. William Tong, su fiscal general, afirmó que las empresas tienen la obligación de tomar medidas para proteger la seguridad de los datos de los consumidores. Marriott no lo hizo, lo que provocó la violación de la red informática de Starwood y la exposición de la información personal de millones de sus clientes. Este acuerdo de 50 estados, liderado por Connecticut, obliga a establecer un sistema de protección basado en el riesgo que proteja contra las ciberamenazas en constante evolución. Seguiremos trabajando estrechamente con nuestros colegas de varios estados de todo el país para garantizar que las empresas toman todas las medidas razonables para proteger nuestros datos personales."
Marriott anunció sus planes de adquirir Starwood en 2015, y poco después Starwood notificó a sus clientes que había sufrido una filtración de datos de 14 meses que afectaba a la información de las tarjetas de pago de más de 40.000 clientes.
Tras la fusión de $12.200 millones en 2016, Marriott era responsable de las prácticas de protección de datos de ambas marcas. En noviembre de 2018, Marriott anunció que había identificado la segunda brecha. La primera brecha comenzó en 2014 e implicó la copia de información de 340 millones de clientes de Starwood en todo el mundo. No se descubrió hasta cuatro años después de la brecha inicial.
Según la Comisión Federal de Comercio de Estados Unidos (FTC), los examinadores forenses determinaron que esta brecha fue causada por "actos malintencionados" que comprometieron el sitio web externo de Starwood e instalaron malware en su red. Según el informe, los autores habían instalado "registradores de pulsaciones de teclado, programas de rastreo de memoria y troyanos de acceso remoto en más de 480 ordenadores de 58 establecimientos de Starwood, incluidos los centros de datos corporativos, los centros de contacto con los clientes y los hoteles".
Las deficientes prácticas de seguridad de Marriott provocaron una serie de infracciones que afectaron a cientos y millones de clientes.
La filtración dio lugar al robo de más de 5,25 millones de números sin cifrar de pasaportes, tarjetas de pago, direcciones de correo electrónico, nombres de usuario, fechas de nacimiento, códigos de fidelidad de Starwood, información sobre estancias, datos de vuelos, etc.
Marriott informó del tercer pirateo en marzo de 2020. Los piratas informáticos utilizaron credenciales de inicio de sesión de empleados de una franquicia de Marriott para acceder a su sistema.
Los intrusos comenzaron a robar información en septiembre de 2018 -el mismo mes en que se descubrió la segunda brecha- y continuaron hasta diciembre de 2018, para reanudar en enero de 2020 hasta que fueron descubiertos en febrero de 2020.
Durante este tiempo, accedieron a más de 5,2 millones de registros de huéspedes que contenían "cantidades significativas" (según la FTC) de información personal.
La denuncia de la FTC alega que Marriott no ha hecho una serie de cosas, como implantar controles adecuados de las contraseñas, parchear software obsoleto y supervisar los entornos de red. También afirma que Marriott no ha implantado cortafuegos apropiados ni aplicado una autorización multifactor adecuada.
Marriott no admite responsabilidad alguna por las alegaciones. Marriott gestiona y explota más de 7.000 hoteles y complejos turísticos en Estados Unidos, así como en más de 130 países.
