La infracción tuvo lugar en algún momento de 2014, pero no se descubrió hasta 2018, cuando una herramienta de seguridad interna detectó un intento sospechoso de acceder a la base de datos interna de reservas de huéspedes para las marcas Starwood de Marriott . Starwood Hotels fue adquirida por Marriott en 2016, añadiendo 11 nuevas marcas a los 19 activos originales de Marriott International.

La alerta de seguridad interna provocó una investigación que descubrió que la red de Starwood se vio comprometida en 2014, antes de la adquisición. Starwood no había migrado el sistema de reservas de Mariott en 2018; Las marcas de Starwood todavía usaban la infraestructura de TI heredada, lo que contribuyó al alcance y la escala de la filtración de datos.

En su investigación interna, Marriott descubrió que los piratas informáticos habían cifrado los datos y los eliminaron del sistema de Starwood. Esa información incluía información de hasta 500 millones de registros de invitados , aunque algunos de esos registros estaban duplicados. Cuando anunciaron la violación, Marriott dijo que los piratas informáticos robaron información de los huéspedes que incluía "un nombre, dirección postal, número de teléfono, dirección de correo electrónico, número de pasaporte, información de la cuenta de Starwood Preferred Guest ("SPG"), fecha de nacimiento, sexo, llegada e información de salida, fecha de reserva y preferencias de comunicación. A algunos de estos huéspedes también se les robaron los datos de las tarjetas de pago, pero Marriott no dijo a cuántos”.

Los detalles reales del ataque son bastante técnicos, pero hubo algunas prácticas comerciales y culturales en Starwood que respaldan lo fácil que fue para un mal actor acceder a tantos registros de invitados.

El experto en seguridad cibernética de Crowdstrike, Ryan Cornateanu, dijo a Hotel Tech Report : “El ataque a Marriott fue desafortunado y un punto de entrada popular para los adversarios es a través de la suplantación de identidad por correo electrónico. Esta táctica se utiliza en el phishing para introducir malware en una red de destino y luego moverse lateralmente a través de todos los sistemas. Desde allí, los piratas informáticos pueden aprovechar los números de cuenta, los números de licencia de conducir y otra información confidencial de los programas de lealtad y los sistemas de reservas. La regulación general de protección de datos ha recorrido un largo camino para proteger a los consumidores, pero solo se puede hacer mucho cuando un pirata informático puede proteger las credenciales de inicio de sesión o acceder a los servidores directamente”.

Starwood era conocido por tener un sistema de reservas inseguro ; un ataque separado en 2015 comprometió datos y no se detectó durante ocho meses . Luego, Marriott agravó el problema al despedir al personal de TI de Starwoods durante la adquisición en 2016. La falta de personal impidió que Marriott integrara rápidamente las propiedades hoteleras recién agregadas en su propio sistema interno de reservas. El ya inseguro sistema de reservas de huéspedes de Starwood, por lo tanto, "siguió cojeando, como un zombi, infectado con malware, violado por piratas informáticos y sin mucha continuidad en la atención, durante otros dos años antes de que finalmente se descubriera la violación", informa CSO . en línea

En cuanto a la pregunta de quién pirateó a Marriott, esa respuesta es aún más complicada. Tanto el New York Times como el Washington Post informaron que el ataque fue parte de un esfuerzo de recopilación de inteligencia patrocinado por el estado en nombre del gobierno chino. Los patrones en el código, así como el método de las técnicas de eco de ataque empleadas anteriormente por los piratas informáticos chinos, y ninguno de los registros de invitados terminó a la venta en la web oscura, una pista de que no se trataba de un truco con fines de lucro.

Financieramente, Marriott enfrentó sanciones significativas como resultado de esta violación de datos. Se presentaron varias demandas colectivas contra la marca por la falta de diligencia debida de Marriott en los sistemas de TI de Starwood. Además de las demandas, Marriott acordó pagar los reemplazos de pasaportes para los clientes que fueron víctimas de la violación de datos.

Por otra parte, la Oficina del Comisionado de Información (ICO) del Reino Unido, un organismo de control de los derechos del consumidor, multó a Marriott con 23,8 millones de dólares (por debajo de la multa original de 123 millones de dólares) por no cumplir con los estándares de seguridad exigidos por el RGPD . El ICO argumenta que Marriott no "implementó las medidas técnicas u organizativas apropiadas" al procesar datos, aunque también reconoció que desde entonces Marriott ha tomado las medidas adecuadas para mejorar la seguridad. En particular, la multa original de $123 millones habría sido una de las sanciones más grandes emitidas bajo GDPR, representando alrededor del 3% de los ingresos totales de Marriott .

Es cierto que, desde el punto de vista financiero, es probable que Marriott sobreviva a esta filtración de datos. Sin embargo, los puntajes de satisfacción del cliente cayeron en 2019 , lo que igualó a la marca con Hilton y sugiere que la violación puede causar más daño a largo plazo a la lealtad de los huéspedes. Los estudios muestran que casi una cuarta parte de los estadounidenses dejarán de hacer negocios con una empresa que ha sido pirateada, mientras que más de dos de cada tres personas confían menos en una empresa después de una violación de datos.

En última instancia, los independientes son mucho más seguros que las marcas porque tienen un botín menos atractivo para los piratas informáticos. Menos botín significa menos incentivo. Además, los independientes a menudo trabajan con los mejores proveedores de tecnología en lugar de intentar desarrollar sistemas internamente. Estos proveedores están respaldados por empresas y toman grandes medidas para garantizar la seguridad de los datos. Los hoteleros deben buscar proveedores de software que cumplan con estándares rigurosos con respecto a los marcos regulatorios modernos como SOC-2 , GDPR, PSD2 y PCI .

Pero aún así, incluso entre los independientes, la industria hotelera es un objetivo atractivo para los piratas informáticos. Hay una gran cantidad de información de identificación personal recopilada por los hoteles y, a menudo, hay pocos protocolos de seguridad o están desactualizados para proteger estos datos valiosos. No está descartado que su hotel pueda ser el objetivo de un ataque cibernético en el futuro: sin embargo, es crucial evitar los errores que cometió Marriott al no encontrar la brecha durante cuatro años.

La primera prioridad del equipo de TI de cualquier hotel debe ser cifrar los datos de los huéspedes y configurar alertas para advertir de inmediato cuando se produzca una posible violación de la seguridad. La TI heredada debe actualizarse; asegúrese de que la versión más reciente de su software esté instalada en todos los dispositivos. Las actualizaciones de seguridad a menudo contienen parches y nuevas correcciones que evolucionan con el panorama de amenazas. Y tenga un plan para comunicarse con los clientes tan pronto como sienta que ha habido una infracción. La pregunta no debería ser "si" habrá un ciberataque , sino cuándo.