Cuando Marriott anunció su brecha de seguridad masiva en las propiedades de la marca Starwood, sumó su nombre a la desafortunada lista de hoteles hackeados. Aun así, el caso de Marriott es el más grave que se conoce hasta la fecha en el sector turístico y el segundo más grande de la historia, solo superado por la brecha de Yahoo en 2017.
La infracción puede acarrear multas muy importantes a Marriott, a diferencia de la mayoría de los otros casos acaecidos hasta ahora, pues esta es la primera gran brecha importante de datos desde que se implantara el GDPR en Europa. Hasta el momento, las multas más elevadas ascendían al 4% de los ingresos anuales de las compañías afectadas. Si bien todavía no se sabe hasta dónde podrían llegar estas sanciones, los expertos sí que estipulan que serán mucho más altas.
Nueva York va a investigar la brecha
Pero el hackeo no preocupa solo a Europa. La oficina del fiscal general de Nueva York también ha informado que va a abrir una investigación para buscar a los culpables de esta importante brecha de seguridad. Y no sería la primera vez que multa a cadenas hoteleras por un caso similar. En 2017, Hilton Worldwide acordó pagar una multa de 700.000 dólares al estado de Nueva York por los fallos de su sistema de seguridad, que expusieron los datos de 350.000 tarjetas de crédito en 2015.
Lo más preocupante de la historia es que en octubre de 2015, Starwood ya sufrió una violación de su sistema de seguridad en cuanto a datos de tarjetas de crédito. En aquel momento, la cadena, que todavía no había pasado a formar parte de Marriott, afirmó no encontrar prueba alguna de que los hackers hubieran accedido a su sistema principal de reservas.
Sin embargo, para esas fechas, el sistema ya estaba vulnerado, tal y como se dio a conocer el viernes. Por tanto, no sería de extrañar que el gobierno y las compañías de seguros investiguen ahora la forma en que Starwood abordó ese incidente, tal y como adelanta Skift.
El sector hotelero tiene un problema grave de seguridad
Si comparamos las 20 cadenas hoteleras más grandes del mundo con las mayores aerolíneas, cruceros y cadenas de alquiler de automóviles, son los hoteles quienes salen perdiendo en cuanto a ciberseguridad. Y los hoteleros lo saben. El incidente comparable más cercano entre las aerolíneas es el que protagonizó British Airways, que no logró detener una brecha informática que dejó al alcance de los hackers los datos de las tarjetas de crédito de unos 380.000 clientes.
Pero, como recogen en Skift, la comparación sigue siendo anecdótica. “Es difícil afirmar si los hoteles son o no más vulnerables en cuanto a violación de datos que otros proveedores de viajes”, afirma Emory Roane, asesora de Privacy Rights Clearinghouse, compañía que realiza un seguimiento de este tipo de filtraciones. Aun así, el caso Marriott/Starwood es el incidente de piratería más serio hasta la fecha, tanto por el número de clientes afectados como por el tipo de información sensible a la que se ha tenido acceso.
Wyndham Worldwide sufrió otro robo masivo
El último incidente comprable ocurrió hace una década. En 2008 y 2009, los piratas informáticos atacaron hasta en tres ocasiones la red interna y los PMS de los hoteles de Wyndham Worldwide, accediendo a los datos de 619.000 huéspedes. La compañía estimó más tarde que el volumen del robo ascendió a 10,6 millones de dólares en cargos fraudulentos.
Los críticos, incluidas las compañías de seguros, alegaron que Wyndham había sido negligente al haber almacenado la información de la tarjeta de crédito en un texto claro y legible, en vez de estar encriptada. La cadena también fue criticada por usar contraseñas fáciles de adivinar y por permitir que todos los hoteles se conectaran en red con sistemas obsoletos, así como por no haber podido restringir el acceso a la red de proveedores externos.
Los hackers utilizaron el software que instalaron en el primer sistema Wyndham en el primer ataque para llevar a cabo el segundo, según los datos presentados por el tribunal, lo que deja entrever que la cadena podría haber hecho mucho más para evitar el segundo y tercer ataque.
Los hoteles, en el punto de mira
La brecha de Marriott y Starwood se diferencia de la mayoría de las brechas recientes que han sufrido los hoteles en que esta ha llegado al sistema principal de reservas de la compañía, una base de datos de alta prioridad y seguridad, pues recoge, por ejemplo, la información de los pasaportes. De hecho, Charles Schumer, senador demócrata por Nueva York, ha manifestado que la cadena hotelera debe identificar a los clientes más susceptibles a robo de identidad y pagarles los 110 dólares que cuesta hacerse un pasaporte nuevo.
El tipo de ataque más común que han sufrido los hoteles en los últimos años ha sido en los sistemas de punto de venta (POS), que se integra con los principales sistema de reserva de los huéspedes. Es ahídonde se registra la información de pago de cada cliente. Los hackeos se han dado tanto en terminales de punto de venta propias, como externas.
Kimpton, IHG, Hyatt, Huazhu…
En 2016, Kimpton, una marca propiedad de InterContinental Hotels Group, con unos 60 hoteles boutique y 70 restaurantes en ese momento, asumió que los hackers habían robado datos a través de sus sistemas de punto de venta en los restaurantes y en los front desks de los hoteles durante un periodo de cinco meses, colocando malware en sus servidores. Los ladrones utilizaron los datos de pago robados para hacer cargos no autorizados en esas tarjetas.
Pero el de Kimpton no es el único caso. En 2017, la marca IHG informó de que los hackers habían tenido acceso a las 1.000 propiedades que gestiona. En mayo de este año, el grupo de abogados que representa a los clientes afectados presentó una demanda colectiva contra la hotelera. También el pasado año, Hyatt sufrió una violación de datos a través de su sistema de pago en 40 hoteles de todo el mundo, repitiendo una crisis que ya se había dado en 2015.
También en 2017, la cadena china Huazhu sufrió la filtración de datos de 130 millones de clientes, siendo la filtración más grande producida en China en los últimos cinco años. Y un año antes, Omni Hotels & Resorts vio como los datos de las tarjetas de crédito de 50.000 huéspedes caían en manos de los hackers.
Pero sin duda, el peor año fue 2015, donde Hilton Worldwide, Trump Hotels, Starwood (otra vez), Mandarin Oriental y la franquicia White Lodging Properties, que administra hoteles de Hilton, Marriott, Sheraton y Westin, sufrieron ataques por parte de los ciberdelincuentes.
Sin olvidar la crisis de Sabre
La otra gran brecha de seguridad hotelera se produjo en el sistema de la empresa tecnológica Sabre. Four Seasons, Hard Rock, Loews, Kimpton, Red Lion y Trum Hotels se enfrentaron a un grave problema de seguridad debido a que eran clientes del motor de reservas de Sabre Hospitality Solutions SynX.
Entre agosto de 2016 y marzo de 2017, un fallo en el sistema de esta compañía puso en jaque parte del sistema, que expuso datos no autorizados a los ladrones digitales. Aun así, el incidente no afectó a los sistemas centrales de las empresas matrices y los ladrones solo tuvieron acceso a la información de pago.
En resumen, como ya hemos indicado en varias ocasiones en TecnoHotel, los hoteles están en el punto de mira de los hackers, de ahí que haya que tomar el máximo de medidas para mantener a salvo los datos de los clientes.
Fuente: tecnohotelnews.com
