Lecciones del hackeo a los hoteles Marriott

Si te hospedaste en los hoteles W, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton y Design Hotels, ten por seguro que tus datos personales estuvieron expuestos a hackers y personas ajenas a la cadena de hoteles Marriott entre 2014 y el 10 de septiembre de 2018. ¡Cuatro años!

La lista de datos personales robados a Marriott, a través del sistema de reservaciones de su subsidiaria Starwood, forman una combinación amplia: nombre, dirección postal, número de teléfono, dirección de correo electrónico, número de pasaporte, información de cuenta de Starwood Preferred Guest (SPG), fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva y preferencias de comunicación. En algunos casos, informó la compañía, la información robada incluyó números de tarjetas de crédito y sus fechas de vencimiento, “pero los números de las tarjetas de pago estaban cifrados con el sistema Advanced Encryption Standard (AES-128)”.

Así tenemos un nuevo caso de hackeo y robo masivo de datos personales. Es el tercer mayor hackeo con robo de información personal en la historia, después de los dos sufridos por Yahoo en 2013 y 2014 (en conjunto, más de 3,000 millones de cuentas hackeadas) y por encima del hackeo a Equifax en 2017 (143 millones de cuentas). El blanco esta vez fue la mayor cadena de hoteles del planeta. Los hackers robaron datos personales de más de 500 millones de clientes de la cadena.

La información robada puede causar graves riesgos a los clientes de Marriott, como cargos fraudulentos a sus tarjetas de crédito, afectaciones al historial crediticio de las personas, robo de identidad y aumento de spam en los próximos años, dice la demanda colectiva encabezada por los abogados David Johnson y Chris Harris en una corte de circuito en el estado de Oregon, Estados Unidos. Johnson y Harris reclaman 12,500 millones de dólares como compensación, pues además encuentran que Marriott actuó con negligencia.

El mercado bursátil apenas ha castigado las acciones de Marriott, a diferencia de lo que pasó con Equifax y Yahoo en su momento. Entre el 30 de noviembre, fecha cuando se dio a conocer el hackeo, y el 7 de diciembre de 2018, los títulos de Marriott en el Nasdaq perdieron -8.7% de su valor. El mercado da por descontado el viejo adagio de moteros que bien funciona en el mundo de la ciberseguridad, que dice que sólo hay dos tipos de motociclistas: los que ya se cayeron y los que se van a caer. O dicho en palabras del exdirector del FBI Robert Mueller en 2012: “Solo hay dos tipos de empresas: las que ya fueron hackeadas y las que lo van a ser. Pero incluso esas categorías se están fusionando en una sola: las compañías que ya fueron hackeadas y que lo serán otra vez”.

La agencia de noticias Reuters reportó de la posibilidad de que hackers chinos estén involucrados en el hackeo a Marriott, pues presuntamente se utilizaron herramientas, técnicas y procedimientos similares a otros ciberataques realizados por piratas chinos. De ser el caso, el incidente puede calentar más la guerra comercial entre Estados Unidos y China, que vio un nuevo obstáculo para una eventual resolución en la detención de una de las principales ejecutivas de la compañía de telecomunicaciones china Huawei, el 5 de diciembre pasado.

The New York Times citó a expertos en ciberseguridad que le aseguraron que la industria de la hospitalidad se ha convertido en un blanco de hackers patrocinados por agencias de espionaje, que buscan información sobre hábitos de viaje de presidentes, jefes de Estado, diplomáticos y otras personas de alto nivel.

“Marriott lamenta profundamente que se produjera este incidente”, se lee en el sitio creado por la cadena para informar a sus clientes sobre el hackeo y ofrecer detalles de cómo pueden ejercer sus derechos a la protección de datos personales. En México se puede presentar una denuncia a través del Sistema de Protección de Datos Personales del Inai o directamente en las oficinas de esa oficina.

Vivimos una nueva realidad en ciberseguridad, la de los hackeos y los ciberataques. Necesitamos autoridades fuertes y comprometidas con la protección de los datos personales de los ciudadanos. ¿Las tenemos en México?

Hackeos a empresas privadas

• Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
• Hackear a Rackspace (14 de diciembre, 2022)
• Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
• Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
• Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
• Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
• Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
• Lecciones del hackeo a iVoy (10 de agosto, 2020)
• Lecciones del hackeo a Bitso (11 de junio, 2020)
• Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
• Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
• Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
• Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
• ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
• Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
• Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
• Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
• Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
• Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
• Hackear las elecciones (9 de junio, 2017)
• Yahoo: Hit me, baby, one more time (24 de enero, 2017)

Comentarios