La compañía hotelera Marriot ha reconocido que hackers se han infiltrado en el sistema de reservas de Starwood, el gigante hotelero con el que se fusionó hace dos años, desde 2014. La brecha de seguridad ha permitido a estos piratas informáticos acceder a la información personal de 500 millones de clientes de la cadena hotelera, la más grande del mundo con más de un millón de habitaciones tras su unión con Starwood. Entre los datos que han robado los hackers se encuentran nombres, direcciones, números de tarjetas de crédito, números de teléfono, fechas de nacimiento, números de pasaporte, localizaciones de viaje y fechas de llegada o salida del hotel, entre otros. La compañía no ha dado información sobre la nacionalidad de los clientes afectados. Marriot es propietario de treinta marcas hoteleras, algunas tan conocidas como Ritz Carlton, Sheraton, St. Regis o WHotels, entre otras.
El incidente de Marriot pone de nuevo en el foco la seguridad de los datos personales y lo fácil que es acceder a los mismos por parte de personas con conocimientos informáticos avanzados. Esta brecha de seguridad no es la única en una gran empresa turística. En septiembre, IAG, el holding que agrupa a las aerolíneas British Airways (BA), Iberia, Vueling y AerLingus, sufrió una fuga de datos en la web de BA y en su aplicación móvil. Los hackers tuvieron acceso a los datos de 380.000 tarjetas de crédito de los clientes que reservaron sus vuelos por los dos canales.
“En el mundo digital conseguir la seguridad total es una utopía”, sostiene Deepak Daswani, experto en seguridad informática y autor del libro La amenaza hacker. Daswani explica que la seguridad informática está hecha por humanos, que se equivocan en el diseño de los programas y estos agujeros son los que usan los hackers para realizar ataques. La entrada en vigor del reglamento de protección de datos en la Unión Europea es un elemento que las empresas deben tener en cuenta ante este tipo de incidentes, ya que obliga a la compañía a comunicar, en un plazo de 48 horas, la fuga de datos y los procedimientos que está llevando a cabo para solucionarla. Además, las empresas que no gestionen bien los datos personales de sus clientes se enfrentan a multas millonarias. “Las empresas deben monitorizar continuamente sus sistemas de información, realizando auditorías de seguridad”, recomienda Daswani.
El segmento de la seguridad es uno de los de mayor crecimiento en el negocio de la tecnología. La consultora Gartner prevé que el gasto en productos y servicios de seguridad ascienda a 114.000 millones de dólares en 2018, un crecimiento del 12,4% con respecto al año pasado. Y en el próximo ejercicio la inversión podría crecer un 8,7%. La reciente entrada en vigor del nuevo reglamento de protección de datos en la Unión Europea está ayudando a este crecimiento, ya que las empresas deben invertir más fondos en los servicios y soluciones que permitan mantener la seguridad de los datos personales. Para Gartner, la privacidad supondrá un 10% de la demanda de todo el mercado de seguridad en 2019.
El tipo de datos robados ha desatado la especulación entre los expertos en seguridad informática sobre si la intención de los hackers es financiera o bien se trata de un ataque con intención política. Y es que en los hoteles de la cadena se hospedan muchos viajeros de grandes empresas, pero también personalidades de diferentes gobiernos. Por su lado, el Departamento de Estado de los EEUU ha emitido una nota informando que nadie con un número de pasaporte de un ciudadano estadounidense puede obtener ningún tipo de dato personal o profesional del Gobierno de los EEUU. Deepak Daswani revela que las motivaciones principales de los ciberataques son tres: el lucro económico (la piratería mueve más dinero que el narcotráfico), el hacktivismo y el control de la información y el poder. “Generalmente siempre se puede sacar rédito económico de la información que se roba”, aclara Daswani, para quien no está decidido cuál ha sido la motivación de este ataque, puesto que no lo ha reivindicado nadie.
El ataque a Marriot Starwood no es el primero que sufre la cadena. En 2015, cuando Starwood era independiente, detectó un malware (programa informático con malas intenciones) en los terminales de cobro de sus restaurantes a través del que los piratas conseguían los datos de las tarjetas de crédito de los clientes que pagaban en los mismos. Este ataque también lo sufrieron las cadenas Mandarin Oriental y Trump Hotels, la empresa del actual presidente de los EEUU, según informa el diario Washington Post.