La cadena hotelera Marriott ha sido multada finalmente por la Oficina del Comisionado (ICO) de Gran Bretaña con algo más de 18 millones de libras (más de 20 millones de euros) debido a un ciberataque ocurrido en su sistema informático hace dos años.
Tal y como pasó hace unos días con British Arways la cadena hotelera ha sido sancionada con una cuantiosa cantidad monetaria. Inicialmente la multa era de 99,2 millones de libras (110 millones de euros), pero finalmente ha sido rebajada hasta los 18,2 millones de libras (20,4 millones de euros).
Desde ICO afirman que “las organizaciones deben ser responsables de los datos personales que poseen y no dudarán en tomar las medidas necesarias para proteger los derechos de los usuarios”.
Análisis de los hechos
En 2016, la cadena hotelera Marriott Internacional adquiere la empresa Starwood Hotels & Resorts Worldwide por un valor de 13.600 millones de dólares (algo más de 12 mil millones de euros) y así convertirse en el mayor grupo hotelero del mundo. El grupo contaba así con un total de 30 marcas y más de 5.700 hoteles.
El 30 de noviembre del 2018, Marriot notifica que los datos de 500 millones de clientes habían sido víctimas del ataque de un hacker al haberse infiltrado en la base de datos de huéspedes de la división de Starwood (los hoteles de la división Marriott utilizan otro sistema de reservas diferente).
Tras una investigación posterior, se descubre que los datos estaban en estado vulnerable desde el año 2014 (cuando habían sufrido otro ciberataque) sin que se percataran de ello y que esos datos habían sido copiados y cifrados llegando a alterar 339 millones de registros de usuarios de todo el mundo, de los cuales, alrededor de 30 millones de usuarios eran europeos.
Los datos robados eran tanto personales como fiscales: nombre, dirección, teléfono, email, número de pasaporte, datos bancarios y entradas y salidas de los clientes del hotel. Y aunque los datos de las tarjetas de créditos usadas para los pagos estaban cifrados, no podían asegurar que las claves de cifrado no hubieran sido también robadas.
Como acabamos de comentar en el año 2014, poco antes de que Marriott adquiriera Starwood, ésta había sufrido otro ataque de malware para robar datos de tarjetas de crédito y débito en las cajas registradoras. En esa ocasión se atacó a restaurantes, tiendas de regalos y sistemas de punto de ventas de la compañía y parece ser que desde entonces, los datos habían quedado comprometidos sin que Marriott reparara en ello.
Cooperación por parte de Marriott
Según palabras de Elizabeth Denham de la Oficina del Comisionado “Marriot no realizó la debida diligencia cuando compró Starwood y también debería haber hecho más para asegurar sus sistemas”. Aún así, desde el ICO apuntan a que para calcular la multa impuesta se tuvo en cuenta que la empresa había cooperado en todo momento y había notificado el hecho a las personas interesadas.
Desde Marriot dicen sentirse decepcionados puesto que en todo momento han ayudado con el ICO durante la investigación y han comentado que piensan impugnar la multa.
FUENTE: BBC, El País, Krebson Security, Enforcement Tracket.
IMAGEN: Marriott