Respuesta a incidentes e infracciones, Legislación y litigios, Operaciones de seguridad La cadena hotelera también llega a un acuerdo con la Comisión Federal de ComercioDavid Perera (@daveperera) •9 de octubre de 2024 Imagen: Shutterstock La cadena hotelera más grande del mundo acordó el miércoles pagar 52 millones de dólares y aceptar dos décadas de tercer monitoreo por parte de su programa de ciberseguridad para resolver una serie de violaciones de datos que afectan a millones de huéspedes. Ver también: Lista de verificación de preparación para la evaluación de seguros cibernéticos El pago multimillonario es parte de un acuerdo alcanzado con 50 fiscales generales de EE. UU. (49 estados más el Distrito de Columbia). Una orden de consentimiento de la Comisión Federal de Comercio requiere dos décadas de evaluaciones de programas de ciberseguridad realizadas por un evaluador externo. Todos los acuerdos requieren la aprobación final, ya sea de los jueces estatales o de otra ronda de votación de los comisionados de la FTC, en pasos que normalmente equivalen a formalidades. “Las empresas tienen la obligación de tomar medidas razonables para proteger la seguridad de los datos de los consumidores. Marriott claramente no lo hizo”, dijo el fiscal general de Connecticut, William Tong, quien codirigió la coalición de fiscales generales estatales. Marriott, con sede en Maryland, ha estado sumido en litigios por violación de datos casi continuamente desde 2018, descubriendo piratas informáticos en el sistema de reservas que adquirió después de comprar la franquicia de lujo Starwood en septiembre de 2016. Una investigación adicional mostró que los piratas informáticos, supuestamente parte de una operación de ciberespionaje china, obtuvo acceso al sistema por primera vez en julio de 2014. Un recuento final de la infracción calculó que 133,7 millones de huéspedes del hotel quedaron atrapados en la infracción, incluidos los números de pasaporte no cifrados de 5,25 millones de personas. En una queja administrativa, la FTC dijo que los piratas informáticos instalaron registradores de claves, malware de extracción de memoria y troyanos de acceso remoto en “más de 480 sistemas en 58 ubicaciones dentro del entorno Starwood”, incluida la red corporativa, el centro de datos, el centro de contacto con el cliente y las ubicaciones de los hoteles. Marriott divulgó otra infracción en marzo de 2020, revelando que piratas informáticos se infiltraron en su red en un incidente que afectó a 5,2 millones de huéspedes. Los datos afectados incluían información de identificación como nombres, correos electrónicos, números de teléfono y cumpleaños. El acuerdo de consentimiento de la FTC también abarca una infracción detectada por Starwood en noviembre de 2015. Los piratas informáticos durante 14 meses comprometieron cuentas administrativas desprotegidas e instalaron malware en más de 100 hoteles, extrayendo todos los datos de las tarjetas de pago. En un comunicado, Marriott dijo que no admite responsabilidad en los acuerdos. «La protección de los datos personales de los huéspedes sigue siendo una prioridad absoluta para Marriott», afirmó la empresa. Como parte de su acuerdo con los fiscales generales estatales, Marriott debe adoptar principios de confianza cero “cuando sea razonablemente factible”. También debe exigir contractualmente controles mejorados de ciberseguridad para los “proveedores de TI críticos”, incluidos los proveedores de computación en la nube. El acuerdo de la FTC exige que la empresa limite su recopilación de datos reteniéndolos sólo el tiempo necesario para cumplir su propósito. La cadena hotelera también debe ofrecer a los consumidores una forma sencilla de eliminar su información personal de las bases de datos corporativas. Los dos acuerdos exigen que Marriott establezca un portal para que los consumidores soliciten una revisión de su cuenta de recompensas de fidelidad en busca de actividades sospechosas que hayan ocurrido durante los 12 meses anteriores. El supuesto litigio de acción colectiva derivado de la infracción de 2018 continúa en un tribunal federal. Un juez del Distrito de Maryland de EE. UU. concedió a la demanda el estatus de demanda colectiva en 2022, pero en agosto de 2023 un tribunal de apelaciones anuló esa decisión y devolvió el caso al distrito para considerar más a fondo los efectos de una renuncia a la demanda colectiva firmada por los huéspedes del hotel. Marriott pagó una multa de 24 millones de dólares en 2020 a las regulaciones de datos británicas por la violación de 2018 (ver: Marriott recibe una multa de privacidad de 24 millones de dólares del RGPD por violación). URL de la publicación original: https://www.databreachtoday.com/marriott-pays-52m-to-settle-us-states-data-breach-litigation-a-26495