Reino Unido multará a Marriott por el robo de datos a clientes de Starwood

La cadena calcula que el robo afectó aproximadamente a 8,6 millones de números de tarjetas de pago

La Oficina del Comisionado de Información de Reino Unido (ICO, por sus siglas en inglés) ha comunicado a Marriott International que tiene la intención de imponer a la hotelera una sanción de 99,2 millones de libras esterlinas (110 mi.llones de euros) por incumplir el Reglamento General de Protección de Datos (GDPR) europeo.

La multa propuesta por Reino Unido está relacionada con el ataque cibernético que fue notificado al ICO por Marriott en noviembre de 2018, aunque la vulnerabilidad del sistema comenzó en 2014. La cadena norteamericana adquirió Starwood en 2016, pero la exposición de la información de los clientes no se descubrió hasta 2018.

En un comunicado, el organismo británico señala que en su investigación compró que Marriott “no realizó la debida diligencia cuando compró Starwood y también debería haber hecho más para asegurar sus sistemas”, aunque reconoce que la cadena hotelera ha cooperado en la investigación.

La notificación de la sanción sigue a la realizada el pasado lunes a British Airways (BA), perteneciente al holding IAG, por el organismo que plantea en este caso una sanción de 183,39 millones de libras (unos 204,6 millones de euros) por la sustracción de datos de clientes desde la página web de la aerolínea en 2017.

“El GDPR deja claro que las organizaciones deben ser responsables de los datos personales que poseen”, ha afirmado la comisionada Elizabeth Denham, lo que incluye “realizar la debida diligencia al realizar una adquisición corporativa y establecer medidas de responsabilidad adecuadas para evaluar no solo qué datos personales se han adquirido, sino también cómo están protegidos”. “Si eso no sucede, no dudaremos en tomar medidas firmes cuando sea necesario para proteger los derechos del público”, ha añadido.

DECEPCIÓN EN LA CADENA QUE COOPERÓ EN LA INVESTIGACIÓN

Tras el aviso de sanción, el presidente y consejero delegado de Marriott International, Arne Sorenson, ha manifestado su decepción por la intención de sancionar a la cadena y ha avanzado que impugnará la multa.

Marriott ha estado cooperando con el ICO a lo largo de su investigación del incidente y ha asegurado que la base de datos de reservas de su marca Starwood que fue atacada ya no se usa para operaciones comerciales.

Reino Unido multará a Marriott por el robo de datos a clientes de Starwood

“Lamentamos profundamente que este incidente haya ocurrido. Nos tomamos muy en serio la privacidad y la seguridad de la información de los huéspedes y seguimos trabajando arduamente para cumplir con el estándar de excelencia que nuestros huéspedes esperan de Marriott”, ha dicho.

ATAQUE CIBERNÉTICO

Marriott cifró en un máximo de 383 millones los registros afectados por el robo de datos de reservas realizadas por sus clientes en hoteles de su marca Starwood, desde los 500 millones identificados inicialmente, de los cuales 30 millones pertenecían a la UE. Y en concreto, unos siete millones a residentes del Reino Unido.

El gigante hotelero, que opera más de 30 marcas y adquirió Starwood hace dos años, calculó entonces que el robo podría haber afectado a aproximadamente 327 millones de estos clientes. Según sus propias investigaciones, se cree que la vulnerabilidad comenzó cuando los sistemas de hoteles Starwood se vieron comprometidos en 2014.

Marriott descubrió a finales de noviembre el acceso no autorizado a las bases de datos de Starwood desde 2014, un año antes de que comprara la marca, que fue pirateada durante cuatro años, tras lo cual se abrió una investigación al menos cinco en estados de Estados Unidos y en Reino Unido.

Tras la investigación interna realizada, el grupo identificó el robo aproximadamente de 8,6 millones de números de tarjetas de pago, todas ellas encriptadas, unos 5,25 millones de números de pasaportes sin cifrado y aproximadamente a unos 20,3 millones de números de pasaporte encriptados.