Hoteles Marriott: salvados por el coronavirus

Marriott International lo ha hecho de nuevo. La cadena de hoteles más grande del planeta ha sufrido una nueva fuga de datos personales. Es la segunda fuga de proporciones mayúsculas en menos de tres años, desde que en 2018 notificó de un hackeo que expuso información de 500 millones de clientes. En el nuevo incidente de seguridad estuvieron expuestos datos personales de 5.2 millones de clientes durante 45 días, de acuerdo con lo que informó Marriott el 31 de marzo pasado. 

¿Cuántos clientes de origen mexicano se vieron afectados por la fuga de información? ¿Marriott International dio aviso al Inai, la autoridad protectora de los datos personales en México? Imposible conocer las respuestas, pues Marriott International no cuenta “con información detallada por país”, me dijo un vocero de prensa de la compañía. ¿La fuga de información se produjo para todos los clientes de la cadena a escala global o sólo ocurrió con los visitantes de determinados países y ciudades? ¿Qué certeza tiene Marriott de que no existen copias de la información que estuvo expuesta durante el incidente? Otro par de misterios, pues Marriott no difundió esa información y el vocero que consulté me remitió en todo momento a las respuestas oficiales del sitio creado por Marriott para notificar del incidente: https://espanol.mysupport.marriott.com/

Marriott tampoco ha aclarado si se trató de un hackeo a sus bases de datos (el ataque cibernético para vulnerar su seguridad y tener acceso a su información); de un uso indebido de las contraseñas en poder de sus empleados, o de técnicas de ingeniería social bien aplicadas por terceros no autorizados para conseguir acceso a la información personal vulnerada. Marriott sólo ha dicho que la vulneración se produjo entre mediados de enero y finales de febrero y fue posible por el uso de las contraseñas “de dos empleados de un hotel bajo franquicia”.

Entre la información vulnerada se encuentran detalles de contacto de los clientes (nombre, domicilio, correo electrónico, números telefónicos), información sobre cuentas de lealtad (número de cuenta y saldo en puntos), membresías y afiliaciones (como programas de lealtad de aerolíneas) y otros detalles adicionales, como género, fecha de nacimiento, empresa a la que están vinculados, preferencias de tipo de habitación y lenguaje).

La lista de propiedades administradas por Marriott International disponible en la Ciudad de México es larga: St Regis, The Ritz-Carlton, W Hotels, JW Marriott, Marriott, Sheraton, Westin, Courtyard by Marriott, Fairfield, AC Hotels… y a escala internacional se multiplica hasta llegar a 31 marcas.

El anuncio de la vulneración de datos personales tuvo un impacto muy leve en el valor de las acciones de Marriott International cotizadas en Nasdaq, que vieron primero un descenso de -21% y luego recuperaron su valor e incluso lo superaron en menos de una semana. A los inversionistas les preocupa más la reacción de Marriott ante la emergencia global por el coronavirus que un nuevo incidente de seguridad de la información. 

Las medidas de aislamiento social para contener la pandemia del Covid-19 ha vaciado los hoteles hasta convertirlos en escenarios tipo The Shining de Stanley Kubrick. El CEO de Marriott, Arne Sorenson, ha hablado de un “dramático impacto del Covid-19 en nuestro negocio”.

En esa nueva normalidad, una fuga de datos personales parecería entonces parte de la operación cotidiana, como romper un plato o cambiar una bombilla.

Y esa es justo la peor noticia: que el incidente pase inadvertido, que no se hable de él ni en la prensa ni entre los consumidores, que las autoridades no tomen acciones para remediar y prevenir incidentes, que la reputación de Marriott no sufra consecuencias. Porque entonces será otra fuga de datos personales en la que los únicos perjudicados somos los ciudadanos.

Este artículo originalmente se publicó en El Economista el 19 de abril de 2020.

Comentarios