Marriott International acordó pagar 52 millones de dólares y realizar cambios para reforzar la seguridad de sus datos para resolver reclamos estatales y federales relacionados con importantes violaciones de datos que afectaron a más de 300 millones de sus clientes en todo el mundo.
La Comisión Federal de Comercio y un grupo de fiscales generales de 49 estados y el Distrito de Columbia anunciaron el miércoles los términos de acuerdos separados con Marriott. La FTC y los estados llevaron a cabo investigaciones paralelas sobre tres violaciones de datos que tuvieron lugar entre 2014 y 2020.
Como resultado de las violaciones de datos, “actores malintencionados” obtuvieron información de pasaportes, números de tarjetas de pago, números de fidelidad, fechas de nacimiento, direcciones de correo electrónico y/o información personal de cientos de millones de consumidores, según la denuncia propuesta por la FTC.
La FTC afirmó que las malas prácticas de seguridad de datos de Marriott y su filial Starwood Hotels & Resorts Worldwide provocaron las violaciones.
Específicamente, la agencia alegó que el operador del hotel no aseguró su sistema informático con controles de contraseña adecuados, monitoreo de red u otras prácticas para salvaguardar los datos.
Como parte de su propuesta de acuerdo con la FTC, Marriott acordó “implementar un sólido programa de seguridad de la información” y brindar a todos sus clientes estadounidenses una forma de solicitar que se elimine cualquier información personal asociada con su dirección de correo electrónico o número de cuenta de recompensas de fidelidad.
Marriott también resolvió demandas similares presentadas por el grupo de fiscales generales. Además de aceptar fortalecer sus prácticas de seguridad de datos, el operador hotelero también pagará una multa de 52 millones de dólares que se dividirá entre los estados.
En una declaración en su sitio web el miércoles, Marriott, con sede en Bethesda, Maryland, señaló que no admitió responsabilidad como parte de sus acuerdos con la FTC y los estados. También dijo que ya ha implementado mejoras en la privacidad de los datos y la seguridad de la información.
A principios de 2020, Marriott notó que se accedía a una cantidad inesperada de información de los huéspedes utilizando las credenciales de inicio de sesión de dos empleados de una propiedad franquiciada. En ese momento, la empresa estimó que los datos personales de alrededor del 5,2. Millones de huéspedes en todo el mundo podrían haberse visto afectados.
En noviembre de 2018, Marriott anunció una filtración masiva de datos en la que los piratas informáticos accedieron a información de hasta 383 millones de huéspedes. En ese caso, Marriott dijo que se accedió a números de pasaporte no cifrados de al menos 5,25 millones de huéspedes, así como a información de tarjetas de crédito de 8,6 millones de huéspedes. Las marcas de hoteles afectadas eran operadas por Starwood antes de que Marriott las adquiriera en 2016.
El FBI dirigió la investigación de ese robo de datos y los investigadores sospecharon que los piratas informáticos trabajaban en nombre del Ministerio de Seguridad del Estado de China, el equivalente aproximado de la CIA.