Ciberataque a Marriott, el segundo más grande de la historia

Ciberataque a Marriott, el segundo más grande de la historia

Ciberataque a Marriott

Marriott es la cadena hotelera más grande del mundo

Cuando Marriott anunció su brecha de seguridad masiva en las propiedades de la marca Starwood, sumó su nombre a la desafortunada lista de hoteles hackeados. Aun así, el caso de Marriott es el más grave que se conoce hasta la fecha en el sector turístico y el segundo más grande de la historia, solo superado por la brecha de Yahoo en 2017.

La investigación, que aún no ha terminado, apunta que el robo podría afectar a hasta 327 millones de sus clientes. Entre la información expuesta se encontrarían números de pasaporte y de cuentas bancaria, fechas y lugares de nacimiento de los clientes y sus datos de contacto, entre otros.

Marriott es una de las cadenas hoteleras más grandes del mundo y es inexplicable que fallara en cuidar la información sensible de sus huéspedes

Tampoco se entiende que la empresa no haya descubierto la fuga de datos en cuatro años, y una vez que lo supieron, tardaron meses en decírselo a sus clientes dejándolos en riesgo de ser atacados en sus cuentas y tarjetas o incluso el robo de identidad.

Starwood es una de las filiales más potentes de Marriott y gestiona las marcas hoteleras: W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton y Design Hotels

Marriott no ha sido la única cadena que ha sufrido el ataque de los hackers. Otras compañías como IHG, Hyatt y Starwood tampoco se han librado de esta delincuencia en los últimos tiempos.

El tipo de ataque más común que han sufrido los hoteles en los últimos años ha sido en los sistemas de punto de venta (POS), que se integra con los principales sistema de reserva de los huéspedes. Es ahí donde se registra la información de pago de cada cliente. Los hackeos se han dado tanto en terminales de punto de venta propias, como externas.

Kimpton, IHG, Hyatt, Huazhu…
En 2016, Kimpton, una marca propiedad de InterContinental Hotels Group, con unos 60 hoteles boutique y 70 restaurantes en ese momento, asumió que los hackers habían robado datos a través de sus sistemas de punto de venta en los restaurantes y en los front desks de los hoteles durante un periodo de cinco meses, colocando malware en sus servidores. Los ladrones utilizaron los datos de pago robados para hacer cargos no autorizados en esas tarjetas.

¿Qué debo hacer si he sido cliente de los hoteles gestionados por Marriot?

las empresas sufren una caída del 5 por ciento de sus acciones, en promedio, después de que informen una violación de datos.

La crisis de Marriott reafirma el problema de ciberseguridad de los hoteles

Valorando a un mínimo de 10 € (cifra muy baja ) por los datos de cada cliente,

el robo podría suponer una cifra de entre 3.500 y 5.000 millones de €

Después de que Marriott informó que hackers habían robado información personal de medio millón de clientes desde el año 2014, se han iniciado demandas contra la compañía hotelera por un monto de 12.500 millones de dólares.

la información robada a sus huéspedes comprende fecha de nacimiento, teléfonos, número de pasaporte, tarjetas de crédito y su fecha de vencimiento.

En un comunicado publicado por la empresa, dueña de, entre otras muchas marcas, la españa AC Hotels, ha confesado el robo y, lo que es más importante, ha explicado que entre los datos a los que han podido tener acceso los ‘hackers’ está la información bancaria de esos 500 millones de clientes. “El 19 de noviembre una investigación interna determinó que se produjo un acceso no autorizado a nuestra base de datos, que contiene información relacionada con las reservas en las propiedades de Starwood durante o antes del 10 de septiembre de 2018”, han reconocido desde la compañía.

La infracción puede acarrear multas muy importantes a Marriott también en Europa, a diferencia de la mayoría de los otros casos acaecidos hasta ahora, pues esta es la primera gran brecha importante de datos desde que se implantara el GDPR en Europa. Hasta el momento, las multas más elevadas ascendían al 4% de los ingresos anuales de las compañías afectadas. Si bien todavía no se sabe hasta dónde podrían llegar estas sanciones, los expertos sí que estipulan que serán mucho más altas.

Nueva York va a investigar la brecha. La oficina del fiscal general de Nueva York también ha informado que va a abrir una investigación para buscar a los culpables de esta importante brecha de seguridad. Y no sería la primera vez que multa a cadenas hoteleras por un caso similar. En 2017, Hilton Worldwide acordó pagar una multa de 700.000 dólares al estado de Nueva York por los fallos de su sistema de seguridad, que expusieron los datos de 350.000 tarjetas de crédito en 2015.

Lo más preocupante de la historia es que en octubre de 2015, Starwood ya sufrió una violación de su sistema de seguridad en cuanto a datos de tarjetas de crédito. En aquel momento, la cadena, que todavía no había pasado a formar parte de Marriott, afirmó no encontrar prueba alguna de que los hackers hubieran accedido a su sistema principal de reservas.

Sin embargo, para esas fechas, el sistema ya estaba vulnerado, tal y como se dio a conocer el viernes. Por tanto, no sería de extrañar que el gobierno y las compañías de seguros investiguen ahora la forma en que Starwood abordó ese incidente.

Valorar nuestro archivo de datos de cliente nos ayuda a comprender la potencia de la amenaza y las medidas de ciberseguridad que debemos implementar.

Podemos estimar un mínimo de 10 € por cliente. Si tenemos los datos de 500.ooo clientes, el archivo que debemos proteger vale 5.000.000 €

Sin tener en cuenta que los datos de un pasaporte se pueden vender por 50 € o la información financiera como cuentas bancarias, tarjetas, plataformas de pago… por una cantidad muy superior

A veces nos olvidamos de que lo más importante en Protección de Datos es protegerlos. Que no nos los roben

El incumplimiento de la compañía hotelera se reveló gracias al GDPR UE, recientemente implantada en Europa,

Un informe del Instituto Ponemon el año pasado encontró que las empresas sufren una caída del 5 por ciento del valor de sus acciones, en promedio, después de que informen una violación de datos.

Las acciones de Marriot cayeron un 5,6 % al conocerse la noticia

Tenemos que ser conscientes de que los datos de nuestros clientes valen una fortuna y su robo nos puede costar otra fortuna

Ciberataque a Marriott

DC CIBER.- Expertos en CIBERSEGURIDAD

Dos demandas colectivas ya se han presentado contra Marriott después de que la cadena de hoteles reveló una violación masiva de sus sistemas que comprometió a 500 millones de clientes. Una de las demandas reclama miles de millones en daños. Y muchos más están en camino.

Los abogados de Oregón presentaron una demanda colectiva el viernes en nombre de David Johnson, un abogado, y Chris Harris, propietario de un negocio. Johnson había notado compras no autorizadas en su tarjeta de crédito recientemente y cree que se debió al hackeo, según Michael Fuller, un abogado de los demandantes. (Al parecer, Harris tuvo que reemplazar una tarjeta de crédito que había usado en un Marriott). Una firma de abogados de Baltimore también presentó una demanda.

El incumplimiento de la compañía hotelera se reveló gracias a la ley de privacidad recientemente promulgada en Europa, conocida como GDPR, en virtud de la cual Marriott podría adeudar hasta $ 912 millones en multas por el incumplimiento.

Los EE. UU. No tienen una ley de privacidad igualmente amplia, aunque algunos tipos de datos están protegidos. Eso significa que los abogados de los clientes de Marriott en EE. UU. Tendrán que demostrar que sus clientes se vieron perjudicados y que fue culpa de Marriott.

“Tenemos que usar la misma ley que habrías usado si tu diligencia se rompió hace 200 años”, bromeó Fuller.

Fuller ha recibido una docena de consultas desde el viernes quejándose de una actividad sospechosa o un aumento en el spam, dijo a CBS MoneyWatch. La demanda busca hasta $ 12.5 mil millones en daños, o $ 25 por cada cliente afectado. Eso cubre “solo el inconveniente de arreglar su crédito, obtener una nueva tarjeta de crédito, etc.”, dijo.

“Esta es una compañía que sabe invertir en mercadotecnia de vanguardia, reservaciones de última generación … al mismo tiempo, no parece que hayan ido al mismo nivel de inversión protegiendo la información que ellos trabaje arduamente para que usted se los entregue “, dijo Hassan Murphy, socio gerente de Murphy Falcon & Murphy, que presentó la demanda en Maryland.

Marriott se negó a comentar sobre los juicios. Los expertos en protección de datos notan el alcance inusualmente amplio de la violación de la compañía, que reveló nombres, direcciones, números de pasaportes, fechas de nacimiento, información de tarjetas de crédito y detalles de viaje de al menos 327 millones de personas, e información menos confidencial de hasta 500 millones. (Los Estados Unidos tienen aproximadamente 329 millones de residentes).

“Cuando observas una brecha como esta, y especialmente la cantidad de tiempo que los piratas informáticos tuvieron acceso a los datos, es probable que haya un caso en el que haya alguna responsabilidad para la empresa. Hay un retraso en la identificación del problema”, dijo Neill. Feather, CEO de SiteLock.

“Una vez que los atacantes se han introducido e infiltrado en una red, están motivados financieramente para permanecer ocultos”, agregó.

Marriott también dijo que si bien algunos de los datos estaban encriptados, es posible que los piratas informáticos hayan accedido a la clave para descifrarla, una situación que el productor principal de CNET, Dan Patterson, comparó con “cerrar la puerta de su casa pero luego entregar la clave”.

Marriott también sufrió un ataque cibernético en 2015 que expuso los números de las tarjetas de crédito de los clientes. Si bien el hotel dijo que el incidente de 2015 no estaba relacionado con el que acaba de revelar, los expertos en ciberseguridad dijeron que Marriott debería haber aprendido de su experiencia anterior. El abogado de Oregon, Fuller, argumentó que el incidente de 2015 debería haber alertado a Marriott de que era un objetivo de piratería y que tomó precauciones.

Las víctimas pueden tardar años en ver el dinero después de una violación, especialmente una con cientos de millones de víctimas. Las demandas judiciales derivadas de la pérdida de Equifax de los datos de 145 millones de clientes el año pasado continúan. Algunas víctimas de esa violación también han tenido éxito en demandar a Equifax en la corte de reclamos menores.

Para muchas empresas cuyos datos de clientes son violados, las sanciones vienen en forma de reputaciones dañadas, precios de acciones aplastadas o pérdida de negocios. Un informe del Instituto Ponemon el año pasado encontró que las empresas ven una caída del 5 por ciento de sus acciones, en promedio, después de que informen una violación de datos. (Las acciones de Equifax actualmente se cotizan aproximadamente un 10 por ciento por debajo de su nivel anterior a la violación). Yahoo, que tiene la distinción por la mayor violación de datos de todos los tiempos, por número de víctimas, vio cómo se redujo su valor en $ 350 millones en su venta posterior a Verizon .

“Las violaciones de datos son un riesgo comercial muy real en lo que respecta a los resultados finales”, dijo Tim Steinkopf, presidente de Centrify, una firma de seguridad de datos.

Sin embargo, es probable que Marriott tenga los recursos de negocios (si no los técnicos) para superar una brecha. Es peor para las pequeñas empresas, que a menudo carecen de las reservas de efectivo para mantener durante la caída a largo plazo en los negocios que siguen.

Según SiteLock’s Feather, el 60 por ciento de las pequeñas empresas que experimentan una violación de datos eventualmente fracasan debido a eso.

2018-12-06T06:23:33+00:00

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Menu