El pasado 30 de noviembre se dio a conocer la noticia de que atacantes lograron acceder a la base de datos donde están los registros de las reservas de huéspedes del Starwood Hotels & Resorts, perteneciente a una de las cadenas hoteleras más grandes del mundo como es Marriot International, comprometiendo información personal de 500 millones de clientes que hicieron una reserva en uno de los hoteles Starwood. De esta manera, y según la información que se tiene hasta el momento, se cree que este incidente de seguridad podría pasar a ser la segunda brecha más grande de la historia detrás del que sufrió Yahoo en 2013, cuando se comprometieron la totalidad de las cuentas.

En 2015 Marriot International realizó la compra de Starwood Hotels & Resorts, la cual incluye conocidas marcas como Sheraton, Four Points, St. Regis, W Hotels, Westin, Le Meridien, The Luxury Collection, Le Meridien, Tribute Portfolio, Design Hotels, Aloft y Element.

En un comunicado que publicó Marriott International, la firma confirma lo sucedido y explica que a partir de una investigación se descubrió que los atacantes tuvieron acceso a la base de datos hasta el 10 de septiembre de 2018, con lo cual aquellos clientes que hayan hecho una reserva antes de esa fecha podrían haberse visto perjudicados. Asimismo, otro dato que surgió de la investigación es que se descubrió que desde 2014 existe un acceso no autorizado a la red de la cadena Starwood.

Es importante mencionar que esto afecta individuos que hayan hecho una reserva en hoteles de propiedad de Starwood (marcas mencionadas anterioremente), ya que Marriott utiliza un sistema de reservaciones independiente y en una red diferente.

Si bien la investigación no ha finalizado, la compañía explicó que la información comprometida de aproximadamente 327 millones de huéspedes (de los 500 millones que hicieron una reserva) incluye: nombre, dirección de correo electrónico, dirección postal, número de teléfono, número de pasaporte, fecha de nacimiento, entre otros. Asimismo, en algunos casos también se incluye los números de la tarjeta de crédito y la fecha de expiración, y si bien los números de las tarjetas fueron cifrados mediante el uso de estándares avanzados de cifrado (AES-128), no descartan que hayan podido descifrarlos.

Como parte de las medidas tomadas por Marriott, se creó un sitio web disponible en varios idiomas donde se detalla qué fue lo que sucedió y en el cual se incluye un apartado con las respuestas a las preguntas más frecuentes sobre el incidente. Además, se ofrece un centro de llamadas en varios idiomas y para varios países a donde podrán llamar para evacuar dudas.

Por otra parte, Marriot asegura que notificará a través del correo a los clientes afectados que formen parte de la base de datos.

Otro servicio que ofrece Marriott, aunque solo para clientes afectados de Estados Unidos, Canadá o Reino Unido, es un año de suscripción a WebWathcher; un servicio utilizado para monitorear sitios de Internet donde se intercambia información personal y en el que los usuarios pueden crear alertas que notifican cuando se detecta que información propia es compartida en Internet. 

Recomendaciones para afectados en la brecha

La investigadora en seguridad de ESET,  Lysa Myers, publicó algunas recomendaciones para aquellos que puedan haberse visto afectados por el incidente. En primero lugar, la especialista recomienda modificar la contraseña en las cuentas de los hoteles pertenecientes al Marriot, y en caso de haber usado la misma clave en otra cuenta, también se recomienda modificarla. Por otra parte, incorporar el doble factor de autenticación en todos las cuentas o servicios que sean posibles.

También es importante monitorear durante un tiempo las cuentas bancarias por cualquier posible movimiento sospechoso. En este sentido, puede ser de utilidad considerar congelar la tarjeta, ya que de esta manera se coloca una traba para que terceros no accedan a los registros y que tampoco puedan crear nuevas cuentas utilizando los datos personales.

Otra recomendación es estar atentos a posibles estafas. Los clientes afectados pueden ser más propensos a caer en estafas donde se utilicen técnicas de ingeniería social para engañar a víctimas ansiosas y preocupadas por lo que pasó. Por lo tanto, recuerden no hacer clic en enlaces que se incluyen en correos que se aprovechen de esta brecha. En caso de dudas, escribir manualmente la dirección web genuina y contactémonos con la compañía.

Qué más podemos esperar de esta brecha

Esta brecha de seguridad tiene implicaciones negativas tanto para el Marriott como para Starwood, no solo por la escala, sino también porque pasó desapercibida durante las adquisisión de Starwood Hotels & Resorts por parte de Marriott International en 2015. Según el investigador colaborador de ESET, Stephen Cobb, todas las marcas involucradas probablemente sufran el costo que implica el daño en la reputación, así como también las múltiples formas de riesgos legales: "Habrá  demandas colectivas por parte de clientes y accionistas, así como investigaciones por parte del Fiscal General de los Estados Unidos hasta por las autoridades responsables de la protección de datos en la Unión Europea. Teniendo en cuenta esto último, estamos ante la mayor brecha de seguridad desde que se hizo efecto el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés)".