Conecta con nosotros

Noticias

Marriott tendrá que pagar 23,8 millones de multa por una brecha que estuvo activa cuatro años

Publicado el

Marriott tendrá que pagar 23,8 millones de multa por una brecha que estuvo activa cuatro años

Hace ya un par de años que la cadena de hoteles Marriott hizo pública una brecha de seguridad considerada como una de las mayores de la historia. Tanto por el volumen de datos robado como por el tiempo que estuvo activa. Al parecer estuvo activa desde 2014 y tuvo su origen en la cadena hotelera Starwood, que Marriott compró en 2016. Entonces todavía estaba activa la brecha, que había pasado completamente desapercibida, y también lo estuvo durante un tiempo más tras la compra. Hasta finales de noviembre de 2018, cuando se descubrió, no se hizo pública, cuando los ciberdelincuentes que la habían explotado ya tenían en su poder los datos de los clientes de la cadena que habían pasado por sus establecimientos durante nada menos que cuatro años.

Las autoridades tomaron inmediatamente cartas en el asunto, y aseguraron que la multa que le iba a caer a la cadena en Reino Unido según lo establecido por la RGPD para estos casos iba a ser fortísima. De hecho, la entidad encargada de la vigilancia de temas de seguridad, la Oficina del Comisionado de Información (ICO) de Reino Unido, pidió en julio al organismo encargado de fijar la multa, la oficina de vigilancia de la protección de datos de Reino Unido, que le impusiese una multa de nada menos que 123 millones de dólares. Finalmente, la multa, a pesar de ser fuerte, es mucho menor: 23,8 millones de dólares. Eso sí, la sanción solo afecta a los efectos de la brecha desde el 25 de mayo de 2018, fecha en la que entró en vigor la RGPD.

Ente los datos personales de clientes de Marriott que sustrajeron los atacantes, según Techcrunch, figuran nombres, direcciones de correo electrónico, números de teléfono, números de pasaporte, datos de entrada y salida en hoteles, consideración o no de cliente VIP para cada reserva y números de pertenencia al programa de miembros de la cadena. En total, se calcula que hubo unos 339 millones de registro afectados, pero el número de individuos, lógicamente, fue menor, puesto que a cada uno le corresponden varios de esos datos robados. Además, también había registros duplicados. Pero aun así, solo en Europa se calcula que afectó a 30 millones de clientes de Marriott.

La investigación que se ha llevado a cabo desde que se hizo pública la brecha y que ha llevado a la multa ha estimado que hubo fallos por parte de Marriott, que no tomó, como requiere la RGPD, «medidas técnicas y organizativas para proteger los datos de las personas«. Según la Comisaria de información británica Elizabeth Denham, «el fallo de Marriott afectó a los datos de millones de personas, miles contactaron con una línea de apoyo y otros puede que hayan tenido que tomar medidas para proteger sus datos personales porque la empresa en la que confiaban para ello no lo había hecho. Cuando una empresa falla en el cuidado de los datos de sus clientes, el impacto no es solo una posible multa, lo que más importa es el público cuyos datos tenían la labor de proteger«.

Según han manifestado desde Marriott, lamentan profundamente el incidente, asegurando que «Marriott sigue comprometida con la privacidad y seguridad de la información de sus clientes, y sigue invirtiendo de manera significativa en medidas de seguridad para sus sistemas. La ICO reconoce los pasos dados por Marriott después del descubrimiento del incidente en informar con rapidez y en proteger los intereses de sus clientes«.

La cadena ha confirmado además que no apelará la multa que le ha impuesto la ICO, que tiene además que ser ratificada por las autoridades de protección de datos de la Unión Europea, debido al mecanismo único aprobado para los casos transfronterizos.

Foto: Kgbo

Redactora de tecnología con más de 15 años de experiencia, salté del papel a la Red y ya no me muevo de ella. Inquieta y curiosa por naturaleza, siempre estoy al día de lo que pasa en el sector.

Lo más leído