El gigante hotelero Marriott acordó pagar un acuerdo de 52 millones de dólares a 50 estados de EE. UU. por una gran violación de datos de varios años que afectó a 131,5 millones de clientes estadounidenses. El acuerdo de 50 estados se produjo tras una investigación realizada por la Comisión Federal de Comercio (FTC) y 50 fiscales generales estatales sobre una violación de una base de datos de reservas de huéspedes de Starwood que se descubrió en septiembre de 2018. Se estima que 339 millones de registros de huéspedes quedaron expuestos en todo el mundo en el incidente. Los atacantes accedieron a la base de datos sin ser detectados desde julio de 2014 hasta septiembre de 2018. Marriott adquirió Starwood en 2016 y tuvo el control de la red informática del grupo hotelero desde ese momento. Los registros afectados incluían datos personales de los huéspedes y un número limitado de números de pasaporte no cifrados e información de tarjetas de pago vigentes. En octubre de 2020, la Oficina del Comisionado de Información (ICO) del Reino Unido multó a Marriott con £ 18,4 millones (24 millones de dólares) en relación con la violación de datos de alrededor de siete millones de residentes del Reino Unido. El acuerdo con los estados de EE. UU. resuelve las acusaciones de los fiscales generales de que Marriott violó las leyes estatales de protección al consumidor, las leyes de protección de información personal y, cuando corresponda, violó las leyes de notificación al no implementar una seguridad de datos razonable y no remediar las deficiencias de seguridad de los datos. Como parte del acuerdo, Marriott también acordó fortalecer sus prácticas de ciberseguridad. Esto incluye la implementación de un programa integral de seguridad de la información que incorpora principios de confianza cero e informes de seguridad periódicos a la junta directiva y a la alta dirección. Lea ahora: T-Mobile pagará una multa de 15,75 millones de dólares por múltiples violaciones de datos Marriott acusado de engaño de seguridad En una orden de conciliación separada con la FTC, Marriott y su filial Starwood acordaron implementar un programa de seguridad de la información “robusto”. Este acuerdo resolverá los cargos de que las fallas de seguridad de los datos de las empresas provocaron tres grandes violaciones de datos entre 2014 y 2020, lo que afectó a más de 344 millones de clientes en todo el mundo. Estos incidentes fueron: La FTC acusó a los hoteles de engañar a los consumidores al afirmar que tenían una seguridad de datos razonable y adecuada. Sin embargo, se descubrió que Marriott y Starwood no habían implementado controles de contraseña, controles de acceso, controles de firewall o segmentación de red adecuados; parchear software y sistemas obsoletos; registrar y monitorear adecuadamente los entornos de red; e implementar una autenticación multifactor adecuada. Según la orden propuesta, se prohibirá a Marriott y Starwood tergiversar cómo recopilan, mantienen, usan, eliminan o divulgan la información personal de los consumidores. Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC, comentó: «Las malas prácticas de seguridad de Marriott provocaron múltiples infracciones que afectaron a cientos de millones de clientes». «La acción de hoy de la FTC, en coordinación con nuestros socios estatales, garantizará que Marriott mejore sus prácticas de seguridad de datos en hoteles de todo el mundo», añadió. El paquete de acuerdo de consentimiento estará sujeto a comentarios públicos durante 30 días después de su publicación en el Registro Federal, después de lo cual la Comisión decidirá si la orden de consentimiento propuesta es definitiva. No admisión de responsabilidad por parte de Marriott En una declaración en respuesta al acuerdo, Marriott enfatizó que no ha admitido responsabilidad con respecto a las acusaciones presentadas por la FTC y los abogados estatales. La cadena hotelera dijo que ya está implementando mejoras en sus programas de privacidad de datos y seguridad de la información según lo establecido en los acuerdos. “La protección de los datos personales de los huéspedes sigue siendo una prioridad absoluta para Marriott. Estas resoluciones reafirman el enfoque continuo de la compañía y sus importantes inversiones para mantener y adaptar sus programas y sistemas para evaluar, identificar y gestionar los riesgos derivados de las amenazas de ciberseguridad en evolución”, dijo Marriott. Crédito de la imagen: gerd-harder/Shutterstock.com