$52 millones y 20 años bajo supervisión: Marriott paga por una ciberseguridad deficiente

Marriott International y su filial Starwood Hotels pagarán $52 millones y crearán un programa integral de seguridad de la información como parte de la resolución de los casos de fugas masivas de datos entre 2014 y 2020, que afectaron a más de 344 millones de clientes.

Como parte del acuerdo, Marriott y Starwood están obligadas a implementar un programa integral de protección de datos y a proporcionar a los clientes de EE.UU. la posibilidad de solicitar la eliminación de sus datos personales.

Marriott International es una gran corporación hotelera que gestiona más de 7.000 establecimientos en todo el mundo. En 2016, Marriott adquirió Starwood Hotels, lo que le impuso la responsabilidad de garantizar la seguridad de los datos de los clientes de ambas compañías.

La FTC señaló varios casos en los que Marriott no pudo proteger adecuadamente los datos de sus clientes:

• El primer incidente ocurrió en 2014, cuando Starwood sufrió una fuga de datos que comprometió las tarjetas de pago de los clientes. La fuga pasó desapercibida durante 14 meses, lo que aumentó los riesgos para los usuarios afectados.
• El segundo incidente está relacionado con el acceso de los hackers a 327 millones de cuentas de clientes de Starwood, incluidos 5,25 millones de números de pasaportes sin cifrar. La fuga ocurrió en julio de 2014, pero no se descubrió hasta 2018, lo que dejó a los clientes vulnerables durante varios años.
• El tercer incidente afectó directamente a Marriott. En 2020, los atacantes accedieron a los datos de 5,2 millones de clientes, incluidos sus nombres, direcciones de correo electrónico, direcciones postales, números de teléfono, fechas de nacimiento e información sobre sus cuentas en el programa de fidelidad. Sin embargo, Marriott pudo detectar la fuga solo en febrero de 2020.

La FTC acusa a Marriott y Starwood de engañar a los clientes sobre su política de seguridad de datos. Entre los principales problemas señalados estaban las contraseñas débiles, el software obsoleto y la falta de control adecuado sobre la infraestructura de TI.

Según los términos del acuerdo, Marriott y Starwood están obligadas a:

• Crear un programa integral de protección de datos con evaluaciones externas cada 2 años y certificación anual durante 20 años.
• Limitar el almacenamiento de datos al mínimo necesario e informar a los clientes sobre las razones de su recopilación.
• Proporcionar a los clientes la posibilidad de solicitar la revisión de actividades no autorizadas en sus cuentas y de recuperar puntos de fidelidad perdidos.
• Permitir a los clientes solicitar la eliminación de información personal relacionada con su correo electrónico o cuenta del programa de fidelidad.
• Garantizar la transparencia en cuestiones de protección de datos y prohibir cualquier distorsión sobre cómo se procesan los datos personales.

Marriott también firmó un acuerdo separado con 49 estados de EE.UU. y el Distrito de Columbia, en el que se comprometió a pagar $52 millones para resolver las reclamaciones relacionadas con los incidentes descritos anteriormente.