Marriott International anunciaron el pasado viernes por la mañana que hasta 500 millones de huéspedes se habían visto afectados por una violación de seguridad en los sistemas de reserva heredados de Starwood Hotels & Resorts Worldwide.

El 19 de noviembre de 2018, una investigación interna determinó que se había producido un acceso no autorizado a la base de datos, un entorno que contenía información de los huéspedes relacionada con las reservas en las propiedades de Starwood.



El 8 de septiembre de este mismo año, Marriott recibió una alerta de una herramienta de seguridad interna sobre un intento de acceso a la base de datos de reservas de Starwood en Estados Unidos.

Marriott contrató rápidamente a los principales expertos en seguridad para ayudar a determinar lo que ocurrió. La hotelera se enteró durante la investigación de que se habían producido accesos no autorizado a la red Starwood desde 2014.

La empresa descubrió recientemente que una persona no autorizada había copiado y cifrado información, y tomó medidas para eliminarla. El 19 de noviembre de 2018, Marriott pudo descifrar la información y determinó que el contenido era de la base de datos de reservas para huéspedes de Starwood.

Las cadenas hoteleras se han mostrado, hasta la fecha, mucho más vulnerables que otras empresas de la industria turística a los ataques de los hackers.

El incidente más cercano fue el de British Airways, que no logró detener un pirateo informático que comprometió los datos de las tarjetas de crédito de unos 380.000 clientes.

La piratería informática en Marriott/Starwood es el incidente de seguridad más grave en la industria hotelera en una década. El último incidente comparable en el sector hotelero se produjo hace una década: En 2008 y 2009, los hackers atacaron la red y los sistemas de gestión de propiedades de Wyndham Worldwide tres veces, supuestamente accediendo a datos de más de 619.000 cuentas.

En este caso, la compañía no ha terminado de identificar información duplicada en la base de datos, pero cree que contiene información de hasta aproximadamente 500 millones de huéspedes que hicieron una reserva en una propiedad de Starwood.

Para aproximadamente 327 millones de estos huéspedes, la información incluye alguna combinación de nombre, dirección postal, número de teléfono, dirección de correo electrónico, número de pasaporte, información de la cuenta de Starwood Preferred Guest (“SPG”), fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva y preferencias de comunicación.

Para algunos, la información también incluye los números de las tarjetas  y las fechas de caducidad de las mismas, si bien los números de las tarjetas de pago se cifraron utilizando el cifrado estándar de cifrado avanzado (AES-128).

Hay dos componentes necesarios para descifrar los números de tarjeta de pago, y en este momento, Marriott no ha podido descartar la posibilidad de que se hayan tomado ambos. Para el resto de afectados, la información se limitaba al nombre y a veces a otros datos como la dirección postal, la dirección de correo electrónico u otra información.

Marriott reportó este incidente a la policía y continúa apoyando su investigación. La compañía ya ha comenzado a notificar a las autoridades reguladoras.

“Lamentamos profundamente este incidente”, dijo Arne Sorenson, Presidente y Director Ejecutivo de Marriott. “No hemos estado a la altura de lo que nuestros huéspedes merecen y de lo que esperamos de nosotros mismos. Estamos haciendo todo lo que podemos para apoyar a nuestros huéspedes y utilizar las lecciones aprendidas para mejorar en el futuro”.