La cadena de hoteles más grande del mundo, Marriott International, reveló hoy que CiberDelincuentes desconocidos comprometieron la base de datos de reservas de sus hoteles subsidiarios de Starwood y se llevaron los detalles personales de unos 500 millones de huéspedes.
Starwood Hotels and Resorts Worldwide fue adquirida por Marriott International por $ 13 mil millones en 2016. La marca incluye St. Regis, Sheraton Hotels & Resorts, W Hotels, Westin Hotels & Resorts, Aloft Hotels, cartera de tributos, Element Hotels, Le Méridien Hotels & Resorts , The Luxury Collection, Four Points by Sheraton y Design Hotels.
Se cree que el incidente es una de las brechas de datos más grandes en la historia, detrás del hacking de Yahoo de 2016 en el que se robaron casi 3 mil millones de cuentas de usuarios.
La violación de las propiedades de Starwood ha estado ocurriendo desde 2014 después de que una "parte no autorizada" logró obtener acceso no autorizado a la base de datos de reservas de invitados de Starwood, y había copiado y cifrado la información.
Marriott descubrió la brecha el 8 de septiembre de este año luego de recibir una alerta de una herramienta de seguridad interna "en relación con un intento de acceso a la base de datos de reservas de Starwood en los Estados Unidos".
El 19 de noviembre, la investigación sobre el incidente reveló que hubo acceso no autorizado a la base de datos, que contiene "información de los huéspedes relacionada con las reservas en las propiedades Starwood el 10 de septiembre de 2018 o antes."
La base de datos de hoteles robados contiene información personal confidencial de casi 327 millones de huéspedes, incluidos sus nombres, direcciones de correo, números de teléfono, direcciones de correo electrónico, números de pasaportes, fechas de nacimiento, sexo, información de llegada y salida, fecha de reserva y preferencias de comunicación.
*
¿Qué es preocupante? Para algunos usuarios, los datos robados también incluyen números de tarjetas de pago y fechas de vencimiento de las tarjetas de pago.
Sin embargo, según Marriott, "los números de las tarjetas de pago se cifraron utilizando el cifrado estándar de cifrado avanzado (AES-128)". Los atacantes necesitan dos componentes para descifrar los números de las tarjetas de pago y "en este momento, Marriott no ha podido descartar la posibilidad de que se hayan tomado ambos".
Marriott confirmó que su investigación sobre el incidente solo identificó el acceso no autorizado a la red de Starwood separada y no a la red de Marriott. También ha comenzado a informar a los clientes potencialmente afectados del incidente de seguridad.
La compañía hotelera comenzó a notificar a las autoridades reguladoras y también a la policía del incidente y continúa apoyando su investigación.
Debido a que la violación de datos está sujeta a las reglas de la Regulación General de Protección de Datos (GDPR) de la Unión Europea, Marriott podría enfrentar una multa máxima de 17 millones de libras o el 4 por ciento de sus ingresos globales anuales, el que sea mayor, si se rompe alguna de estas reglas.
