Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

La brecha de datos de Marriott subraya fallas básicas

La brecha de una base de datos de reservas para huéspedes de la división Starwood del grupo hotelero Marriott International destaca fallas básicas en la protección de datos personales.

Marriott International, el último grupo hotelero en una larga y creciente lista de quienes admiten una violación...

de datos personales, advirtió a los huéspedes que se ha comprometido una base de datos de su división Starwood y que hasta quinientos millones de registros pueden haber estado expuestos.

El grupo dijo en un comunicado en su sitio web que ha tomado medidas para investigar y abordar el incidente de seguridad que afecta a las reservas en las propiedades Starwood entre 2014 y el 10 de septiembre de 2018, lo que podría tener graves repercusiones para la empresa en términos de multas por incumplimiento de las regulaciones de protección de datos alrededor del mundo.

Esto significa que el grupo hotelero ha tomado 20 días para alertar a los afectados por la brecha, mientras que ha realizado una investigación para determinar qué ocurrió.

Simon McCalla, director de tecnología (CTO) de Nominet, dijo que el hecho de que a Marriott le llevó cuatro años identificar la brecha presenta un panorama sombrío del sistema de seguridad que tenían y de cuán susceptibles eran a las amenazas externas.

Asegurar que los sistemas de seguridad y monitoreo de amenazas puedan detectar amenazas cuando interactúan por primera vez con sus sistemas críticos es vital. La defensa proactiva es mejor que la retrospectiva", dijo.

Joseph Carson, científico jefe de seguridad de Thycotic, dijo que la brecha planteará dudas sobre cuándo Marriott se enteró de la violación y si cumplió o no con las regulaciones globales, como el Reglamento de protección de datos general (GDPR) de la UE, que impone sanciones financieras de hasta 20 millones de euros o el 4% de la facturación anual.

El grupo hotelero dijo que aún no ha completado la identificación de información duplicada en la base de datos, pero cree que contiene información de hasta aproximadamente 500 millones de huéspedes.

Para aproximadamente 327 millones de estos invitados, la información incluye una combinación de nombre, dirección postal, número de teléfono, dirección de correo electrónico, número de pasaporte, información de la cuenta de Starwood Preferred Guest, fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva y comunicación preferencias

Para algunos, la información también incluye los números de las tarjetas de pago y las fechas de vencimiento de las tarjetas de pago, pero los números de las tarjetas de pago se cifraron utilizando el cifrado estándar de cifrado avanzado (AES-128).

"Hay dos componentes necesarios para descifrar los números de las tarjetas de pago, y en este punto, Marriott no ha podido descartar la posibilidad de que se tomaron ambos", dijo el grupo hotelero.

Para los invitados restantes, la información se limitó al nombre y, a veces, a otros datos, como la dirección postal, la dirección de correo electrónico u otra información.

Los comentaristas de seguridad han descrito la información comprometida como una posible "mina de oro" para que los ciberdelincuentes cometan fraude y otros delitos, y dijeron que la violación debería servir como una "llamada de atención" para que todas las empresas tomen la seguridad de los datos de los clientes más seriamente.

“Esto sigue la tendencia que hemos visto en los ataques contra la industria de la aviación este año. Estos, y los sectores relacionados con los viajes y la hospitalidad, procesan y almacenan grandes cantidades de información personal de alto valor, como números de pasaporte, detalles de tarjetas de crédito y más", dijo Aatish Pattni, director regional para el Reino Unido e Irlanda de la firma de seguridad cibernética Link11.

Marriott dijo que informó el incidente a la policía, que continúa apoyando su investigación y que ya ha comenzado a notificar a las autoridades reguladoras.

El grupo hotelero afirma que se “movió rápidamente” para contener el incidente y realizar una investigación con la ayuda de expertos en seguridad “líderes”. Marriott dijo que ha creado un sitio web y un centro de atención telefónica especializados para atender las consultas de los huéspedes.

Marriott comenzó a enviar correos electrónicos el 30 de noviembre de 2018 a los huéspedes afectados cuyas direcciones de correo electrónico se encuentran en la base de datos de reservas de Starwood, que ofrece monitoreo de crédito gratuito por un año.

Los comentaristas de seguridad dicen que la brecha subraya una vez más la importancia de proteger los datos personales muy buscados y destaca algunas fallas de seguridad básicas, como no mantener las claves de cifrado en una ubicación separada de los recursos de datos que desbloquean.

Matt Middleton-Leal, gerente general de Netwrix para Europa, dijo que el hecho de que Marriott haya admitido que es posible que los hackers también tomaran la información necesaria para descifrarla apunta a que las claves de cifrado estaban almacenadas en el mismo sistema.

"Este es un error muy básico, que parece haber tenido consecuencias desastrosas para el grupo hotelero. Además, parece que esta infracción puede haber sido tan antigua como de 2014, lo que sugiere que faltan las capacidades de detección en la organización”.

"Es crucial que las empresas puedan monitorear el comportamiento de los usuarios, detectar anomalías y terminar sesiones sospechosas en tiempo real. Las organizaciones a las que se confía una gran cantidad de datos personales y financieros que pertenecen a sus clientes tienen el deber cuidadoso de proteger esto. Ellos pueden y deben hacerlo mejor para evitar fallas en la seguridad básica, dejando a sus clientes abiertos al fraude", dijo.

Ilia Kolochenko, CEO y fundadora de la empresa de seguridad web High-Tech Bridge, dijo que el incidente parece ser una violación de datos más relacionada con aplicaciones web inseguras.

“Muchas empresas grandes aún no cuentan con un inventario actualizado de sus aplicaciones externas, y mucho menos realizan un monitoreo continuo de seguridad y pruebas incrementales. Intentan diferentes soluciones de seguridad sin una estrategia de seguridad de aplicaciones consistente y coherente. Obviamente, un día tal enfoque fallará”.

“Las regulaciones, como GDPR, no ayudan necesariamente. En los últimos dos años, muchas empresas se preocuparon demasiado por cumplir con GDPR en papel, ignorando los requisitos prácticos de seguridad debido al presupuesto y recursos limitados. La administración a menudo está satisfecha con un enfoque formal del cumplimiento, ignorando el lado práctico de la seguridad cibernética y la privacidad", dijo.

Otros comentaristas dijeron que la violación también subraya las implicaciones de seguridad que vienen con las fusiones y adquisiciones.

"En este caso, cuando Marriott adquirió Starwood, tenía que tratar la infraestructura, las aplicaciones y los sistemas recién adquiridos como un riesgo crítico para la empresa hasta que pudieran identificar y mapear la nueva superficie de ataque expandida y priorizar la reducción de riesgos", dijo Simon Roe, gerente de producto de Outpost24.

Utilice todas las herramientas a su disposición: análisis de vulnerabilidades, herramientas de seguridad de aplicaciones, pruebas de penetración de terceros. Y aunque no teníamos idea de cómo se manejaba la seguridad antes y después de la fusión, dado el tiempo de acceso de los atacantes antes, y después, es fácil suponer que algo ha estado mal durante la transición", dijo.

Marriott International adquirió Starwood en 2016, incluidas marcas como W Hotels, Sheraton, Le Méridien y Four Points by Sheraton. Afortunadamente, los hoteles de la marca Marriott utilizan un sistema de reservaciones por separado, lo que significa que los Marriott no se ven afectados por el incumplimiento.

Bimal Gandhi, director ejecutivo de Uniken, dijo que esta brecha subraya la "pura locura" de seguir confiando en métodos de seguridad obsoletos, como el uso de información personal en la autenticación, dada la gran proliferación de datos personales robados y filtrados ahora disponibles en la web oscura.

“Cada pieza de información del cliente que posee una compañía representa un punto potencial de ataque, y cada vez que un socio o agente accede a él, eso también se convierte en un punto potencial de ataque. Los hoteles, las empresas hoteleras, los bancos y las entidades de comercio electrónico están adoptando nuevas formas de permitir que los clientes se autentiquen a sí mismos en todos los canales, sin necesidad de datos personales”.

"Las instituciones comerciales y financieras orientadas al cliente que buscan frustrar el relleno de credenciales buscan cada vez más migrar más allá de la autenticación de datos personales a métodos más avanzados que no requieren que el usuario conozca, fabrique o reciba e ingrese manualmente un factor de verificación para eliminar la capacidad de los malos actores para adivinarlo, pescarlo, hacer credenciales, ingeniería social, imitarlo o capturarlo en su camino en la red”.

 “Las soluciones de autenticación multifactor invisible que se basan en la autenticación basada en clave criptográfica combinada con el dispositivo, el medio ambiente y las tecnologías de comportamiento proporcionan una solución de este tipo. Por su propia naturaleza, son fáciles de usar, se emiten y se aprovechan de forma invisible para el usuario, eliminan los errores humanos y desafían el relleno de credenciales y otros ataques comunes", dijo.

Un portavoz del Centro Nacional de Seguridad Cibernética dijo: “Estamos trabajando con socios para comprender mejor la brecha de datos que afecta a Marriott International y cómo ha afectado a los clientes”.

 “El sitio web de NCSC incluye consejos para las personas que piensan que se han visto afectadas por una violación de datos, incluida la orientación sobre llamadas telefónicas sospechosas y correos electrónicos específicos que pueden enviarse después de una violación de datos”.

"También recomendamos que las personas estén atentas a cualquier actividad sospechosa en sus cuentas bancarias y tarjetas de crédito y que se comuniquen con su proveedor financiero si tienen alguna inquietud".

Este artículo se actualizó por última vez en diciembre 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close