Marriott Internacional Inc. acordó pagar 52 millones de dólares entre 2014 y 2020 para resolver reclamos estatales y federales relacionados con violaciones masivas de datos que afectaron a más de 344 millones de usuarios en todo el mundo.
Según el acuerdo anunciado el 9 de octubre, el operador hotelero con sede en Maryland también acordó mejorar sus prácticas de ciberseguridad, así como mejorar la protección de sus clientes.
Como parte del acuerdo de Marriott con los fiscales generales de 49 estados y el Distrito de Columbia, Nueva Jersey recibirá 13 millones de dólares, según funcionarios.
Los estados alegaron que Marriott violó las leyes de violación de datos y las leyes de protección al consumidor. Según los funcionarios, la empresa tergiversó sus prácticas para proteger la información personal de los clientes y no utilizó medidas de seguridad cibernéticas adecuadas para proteger esos datos.
Eventos
Marriott adquirió Starwood Hotels and Resorts Worldwide por 13.600 millones de dólares en 2016, tomando el control de la base de datos de reservas de huéspedes de la marca. Sin embargo, sin que Marriott lo supiera, un tercero no autorizado instaló malware en el sistema hace dos años, lo que permitió a los piratas informáticos acceder a los datos de los clientes desde julio de 2014 hasta septiembre de 2018.
Según los funcionarios, la información afectada incluye:
- Datos de contacto
- Género
- Fecha de nacimiento
- Detalles de la reserva
- Preferencias de estancia en hoteles
- Número de pasaporte no cifrado
- Información de la tarjeta de pago vigente
Marriott se enteró de la infracción en septiembre de 2018 y la reveló dos meses después. Posteriormente, la empresa realizó un examen forense que reveló problemas de seguridad. Según los funcionarios, las fallas incluyen:
- Controles de firewall inadecuados
- Información de tarjetas de pago no cifrada almacenada fuera de un entorno seguro de datos del titular de la tarjeta
- Falta de autenticación multifactor
- Malas prácticas de seguimiento y registro
En otro incidente, se informó que los intrusos lograron comprometer las credenciales de los empleados en una propiedad franquiciada de Marriott. Esto les permitió acceder a la propia red de la empresa durante varios meses, dijeron los funcionarios.
Estos atacantes comenzaron a acceder y exportar información personal de los usuarios desde septiembre de 2018 hasta diciembre de 2018. La infracción comenzó de nuevo en enero de 2020 y continuó hasta que fue descubierta el mes siguiente, dijeron las autoridades.
«Este acuerdo es otro ejemplo de cómo Nueva Jersey y otros estados están trabajando juntos para responsabilizar a las corporaciones por fallas en la protección de los datos de los clientes», dijo el fiscal general de Nueva Jersey, Matthew Plotkin, en un comunicado. «Juntos, hacemos un llamado a las empresas para que traten los datos de los clientes con el mismo cuidado con el que tratan sus otros activos».
Continuando.
La Comisión Federal de Comercio, que cooperó estrechamente con los estados durante la investigación, llegó a un acuerdo paralelo con Marriott.
Según el anuncio de la FTC del 9 de octubre, Marriott acordó brindar a todos sus clientes estadounidenses un método para solicitar la eliminación de información personal asociada con su dirección de correo electrónico o número de cuenta de recompensas por fidelidad.
Marriott también debe revisar las cuentas de recompensas por fidelidad y restaurar los puntos de fidelidad robados a petición del cliente.
Ver También:
A principios de este mes, American Water se vio obligada a cerrar temporalmente su portal de servicio al cliente en línea y suspender los servicios de facturación después de un ciberataque. Haga clic aquí para obtener más información.
«Las malas prácticas de seguridad de Marriott provocaron múltiples violaciones que afectaron a millones de consumidores», comentó Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC. «La acción de hoy de la FTC, junto con nuestros socios estatales, garantizará que Marriott mejore sus prácticas de seguridad de datos en hoteles de todo el mundo».
Marriott no se ha atribuido la responsabilidad de las acusaciones. La compañía emitió un comunicado diciendo que «continuará implementando mejoras en sus programas de privacidad de datos y seguridad de la información, muchos de los cuales ya están implementados o en marcha».
«La seguridad de los datos personales de los huéspedes es la principal prioridad de Marriott. La compañía dijo que estas resoluciones la ayudan a mantener y adaptar sus programas y sistemas para evaluar, identificar y gestionar los riesgos de ciberseguridad. Confirma el enfoque continuo y la importante inversión de la compañía.