Marriott recibe una multa de 110 millones por el robo de datos de clientes

La Oficina del Comisionado de Información de Reino Unido (ICO, por sus siglas en inglés) ha comunicado a Marriott International que tiene la intención de imponer a la cadena hotelera una sanción de 99,2 millones de libras esterlinas (110 millones de euros) por incumplir el Reglamento General de Protección de Datos (GDPR) europeo.

La multa propuesta por Reino Unido está relacionada con el ataque cibernético que fue notificado al ICO por Marriott en noviembre de 2018, aunque la vulnerabilidad del sistema comenzó en 2014. La cadena norteamericana adquirió Starwood en 2016, pero la exposición de la información de los clientes no se descubrió hasta 2018.

Más información

Marriott revela una intrusión en su sistema que pudo afectar a 500 millones de clientes

EE UU implica a ciberespías chinos en el asalto al sistema de reservas de Marriott

Multa de 205 millones a British Airways por el robo de datos de los clientes

En un comunicado, el organismo británico señala que en su investigación comprobó que Marriott "no realizó la debida diligencia cuando compró Starwood y también debería haber hecho más para asegurar sus sistemas", aunque reconoce que la cadena hotelera ha cooperado en la investigación.

La notificación de la sanción sigue a la realizada el pasado lunes a British Airways (BA), perteneciente al holding IAG, por el organismo que plantea en este caso una sanción de 183,39 millones de libras (unos 204,6 millones de euros) por la sustracción de datos de clientes desde la página web de la aerolínea en 2017.

"El GDPR deja claro que las organizaciones deben ser responsables de los datos personales que poseen", ha afirmado la comisionada Elizabeth Denham, lo que incluye "realizar la debida diligencia al realizar una adquisición corporativa y establecer medidas de responsabilidad adecuadas para evaluar no solo qué datos personales se han adquirido, sino también cómo están protegidos". "Si eso no sucede, no dudaremos en tomar medidas firmes cuando sea necesario para proteger los derechos del público", ha añadido.

Decepción en la cadena 

Tras el aviso de sanción, el presidente y consejero delegado de Marriott International, Arne Sorenson, ha manifestado su decepción por la intención de sancionar a la cadena y ha avanzado que impugnará la multa.

Marriott ha estado cooperando con el ICO a lo largo de su investigación del incidente y ha asegurado que la base de datos de reservas de su marca Starwood que fue atacada ya no se usa para operaciones comerciales.

"Lamentamos profundamente que este incidente haya ocurrido. Nos tomamos muy en serio la privacidad y la seguridad de la información de los huéspedes y seguimos trabajando arduamente para cumplir con el estándar de excelencia que nuestros huéspedes esperan de Marriott", ha dicho.

Ataque cibernético 

Marriott cifró en un máximo de 383 millones los registros afectados por el robo de datos de reservas realizadas por sus clientes en hoteles de su marca Starwood, desde los 500 millones identificados inicialmente, de los cuales 30 millones pertenecían a la UE.

El gigante hotelero, que opera más de 30 marcas y adquirió Starwood hace dos años, calculó entonces que el robo podría haber afectado a aproximadamente 327 millones de estos clientes. Según sus propias investigaciones, se cree que la vulnerabilidad comenzó cuando los sistemas de hoteles Starwood se vieron comprometidos en 2014.

Marriott descubrió a finales de noviembre el acceso no autorizado a las bases de datos de Starwood desde 2014, un año antes de que comprara la marca, que fue pirateada durante cuatro años, tras lo cual se abrió una investigación al menos cinco en estados de Estados Unidos y en Reino Unido.

Tras la investigación interna realizada, el grupo identificó el robo aproximadamente de 8,6 millones de números de tarjetas de pago, todas ellas encriptadas, unos 5,25 millones de números de pasaportes sin cifrado y aproximadamente a unos 20,3 millones de números de pasaporte encriptados.