En noviembre de 2018, Marriott International sufrió una de las brechas de datos más importantes de la historia. En el momento en el que ocurrió la brecha, se creía que el número de registros sustraídos eran 500 millones, pero luego el número se rebajó a 339 millones – todavía una cantidad muy significativa de datos personales.
La información personal sustraída en esta brecha fue comprometida por un tercero no autorizado, que pudo acceder a los datos de clientes registrados en su red desde 2014. La información copiada por el ciberdelincuente incluía “una combinación” de nombre, dirección física, número de teléfono, email, número de pasaporte, información de cuenta, fecha de nacimiento, género, e información de llegada y salida del hotel. Algunos registros también incluían información de tarjetas de pago cifradas.
Como consecuencia de esta brecha de datos, en julio de 2019, el ICO, la autoridad de protección de datos de Reino Unido, propuso a la cadena hotelera una multa de 99 millones de libras (110.385.736€) bajo el GDPR. Sin embargo, como explica Privacy Affairs, esta multa no es definitiva, y la cuantía final puede variar.
Una nueva brecha de datos en Marriott International
Por si fuera poco, ahora a finales de marzo, Marriott International anunció que había sufrido otra brecha de datos. Este incidente fue detectado a mediados de febrero y se cree que la información personal de unos 5,2 millones huéspedes de la cadena de hoteles está implicada.
La empresa ha lanzado una declaración explicando que, “A finales de febrero de 2020, nos dimos cuenta de que una cantidad inesperada de información acerca de los huéspedes había sido comprometida utilizando las credenciales de acceso de dos empleados de una propiedad de la cadena.”
“Creemos que esta actividad empezó a mediados de enero de 2020. Al descubrir la brecha, nos aseguramos inmediatamente de desactivar las credenciales, empezamos una investigación, implementamos una monitorización aumentada y organizamos los recursos para ayudar e informar a los huéspedes.”
La información filtrada
Las investigaciones de la brecha todavía siguen, pero Marriott dice que no hay “razón para creer que la información incluye ni contraseñas ni PIN de las cuentas de Marriott Bonvoy, información de tarjetas de pago ni números de pasaporte, de DNI o de carné de conducir.”
La empresa ha explicado que la información filtrada incluye los nombres, direcciones físicas y de correo, números de teléfono, fechas de nacimiento e información acerca de las preferencias de los huéspedes en los hoteles.
Para ayudar a los afectados por esta brecha, Marriott ha establecido un portal donde pueden determinar si su información estaba implicada en la brecha y qué categorías de datos se vieron afectados. Las contraseñas de las cuentas de Marriott Bonvoy que pueden haber sido afectadas han sido reestablecidas. Es más, la próxima vez que estas cuentas se utilicen, sus dueños recibirán un recordatorio de habilitar la autenticación multifactor. La empresa también ofrece a los afectados una suscripción gratis de un año a un servicio de monitorización de datos personales.
Las multas del GDPR
Desde que entró en vigor en mayo de 2018, más de 250 organizaciones han sido sancionadas bajo el GDPR. La multa que recibió Marriott International en 2019 es la segunda más alta, la multa récord siendo la de British Airways: La ICO propuso una multa de 183 millones de libras (204.600.000€) para la aerolínea. El 2019 fue el año de la multa millonaria bajo la normativa europea: seis empresas recibieron multas de más de un millón de euros por incumplimiento del GDPR.
Cómo evitar las brechas de datos
Esta brecha de datos demuestra la importancia de tener un control riguroso sobre las credenciales para las cuentas que utilizamos. Las contraseñas tienen que ser robustas y es importante cambiarlas frecuentemente. Es más, aunque no es completamente infalible, es buena idea utilizar la autenticación multifactor para añadir una capa más a la protección de las cuentas.
Otra medida importante para proteger los datos personales almacenados en tu empresa es tener un control exhaustivo sobre ellos. Para esto, Panda Adaptive Defense cuenta con un módulo adicional, Panda Data Control. Data Control descubre, audita y monitoriza los datos de carácter personal desestructurados en los equipos: desde el dato en reposo (data at rest), hasta las operaciones sobre ellos (data in use) y su tránsito (data in motion). De este modo, si alguien intenta llevar a cabo cualquier acción sobre los datos personales o intenta sustraerlos, recibirás una notificación.
Después de su brecha de datos en 2018, Marriott habría aumentado sus medidas para hacer frente y evitar la pérdida de información personal. Sin embargo, esta segunda brecha deja muy claro que solo las medidas más estrictas son suficiente para evitar este tipo de incidentes.