La Oficina del Comisionado de Información del Reino Unido (ICO) ha multado a la empresa hotelera Marriott con £ 18,4 millones en virtud del Reglamento General de Protección de Datos (GDPR) por el ciberataque de 2014 en su cadena Starwood que vio comprometidos 393 millones de registros de clientes. La multa revisada es una reducción del 81% sobre la suma inicial de 99 millones de libras esterlinas.
La última reducción se produce solo quince días después de que British Airways lograra argumentar una multa por protección de datos de £ 183 millones hasta £ 20 millones, lo que refleja los pasos que la aerolínea tomó posteriormente para rectificar las brechas en su postura de seguridad, así como el impacto de la pandemia Covid-19. . El ICO dijo hoy que la reducción de la multa de Marriott también refleja estos factores.
La ICO dijo que Marriott había actuado rápidamente para contactar a los clientes y notificar a las autoridades una vez que se dio cuenta del problema y desde entonces ha implementado medidas de seguridad más apropiadas.
“Los datos personales son valiosos y las empresas deben cuidarlos”, dijo la comisionada de información Elizabeth Denham. “La falla de Marriott afectó a millones de datos de personas. Miles de personas se pusieron en contacto con una línea de ayuda y es posible que otros hayan tenido que tomar medidas para proteger sus datos personales porque la empresa en la que confiaban no lo había hecho.
«Cuando una empresa no cuida los datos de los clientes, el impacto no es solo una posible multa, lo que más importa es el público cuyos datos tenían la obligación de proteger».
El incidente de 2014 en Starwood permaneció sin descubrir hasta noviembre de 2018, y fue el resultado de un compromiso relativamente trivial por parte de los ciberdelincuentes, que inyectaron código de shell web en un dispositivo en la red de Starwood, que utilizaron para instalar un troyano de acceso remoto (Rat) y ganar acceso completo como usuario privilegiado.
Luego instalaron y ejecutaron la herramienta de post-explotación Mimitatz para recopilar credenciales legítimas y, desde allí, acceder y filtrar la base de datos de reservas de clientes de Starwood.
Los datos incluían nombres, direcciones de correo electrónico, números de teléfono, números de contraseña sin cifrar, información de llegada y salida y estado del programa de fidelización. Aproximadamente siete millones de los puntos de datos afectados estaban relacionados con ciudadanos del Reino Unido.
El atacante retuvo el acceso a los datos en la red de Starwood durante casi cuatro años, a través de la adquisición de la cadena por parte de Marriott en 2016, aunque su red permaneció separada de la de Marriott durante todo el proceso de integración.
Fueron descubiertos cuando realizaron una acción en la base de datos el 7 de septiembre de 2018, que desencadenó una alerta de Guardium a Accenture, a quien se subcontrató la administración de la base de datos de reservas de Starwood, que informó a Marriott.
La ICO juzgó que entre el 25 de mayo de 2018, cuando entró en vigor el RGPD, y el 17 de septiembre de 2018, cuando la investigación de Marriott identificó y bloqueó a la Rata, la cadena de hoteles no había cumplido con los artículos 5 (1) (f) y 32 de la GDPR al no procesar los datos personales de una manera que garantice la seguridad adecuada.
Un portavoz de Marriott dijo: “Marriott no tiene la intención de apelar la decisión, pero no admite responsabilidad en relación con la decisión o las acusaciones subyacentes. Como reconoce la ICO, Marriott cooperó plenamente durante toda la investigación.
“Marriott lamenta profundamente el incidente. Marriott sigue comprometido con la privacidad y seguridad de la información de sus huéspedes y continúa realizando importantes inversiones en medidas de seguridad para sus sistemas, como reconoce la ICO. La ICO también reconoce las medidas tomadas por Marriott luego del descubrimiento del incidente para informar y proteger rápidamente los intereses de sus huéspedes.
“Marriott quiere asegurar a los huéspedes que el incidente y la decisión de la ICO involucraron solo la red separada de Starwood, que ya no está en uso”.
El socio de Mishcon de Reya, Adam Rose, dijo que la última decisión de la ICO parecía poner una tensión «excesiva» en el comprador de una empresa. «Con toda su diligencia debida y protecciones de garantía, Marriott no descubrió la violación de datos, entre otras cosas porque Starwood no lo sabía. Este tipo de decisión hace poco para proteger a las personas o para ayudar a que las empresas exitosas crezcan a través de la adquisición: Marriott hizo todo que razonablemente podría al hacer la adquisición, pero ahora se enfrenta a una multa grande, aunque reducida, ”dijo.
Ann Bevitt, socia del bufete de abogados Cooley, comentó: “Al igual que con la multa de BA, esto tardó en llegar, la ICO indicó que tenía la intención de multar a Marriott con 99 millones de libras esterlinas en julio de 2019, y la multa final es significativamente menor que eso propuesto originalmente.
«Aún está por verse si una segunda multa reducida significativamente será bienvenida como otro ejemplo de ‘pragmatismo pandémico’ y alentará a las organizaciones a ser menos sólidas en su adhesión al GDPR».
Judy Krieg, socia de Fieldfisher, agregó: “Se está volviendo muy claro que las mega multas anticipadas del GDPR por infracciones cibernéticas (al menos por infracciones cibernéticas) no están llegando a buen término. Dicho esto, Marriott, al igual que British Airways, ha sentido efectos significativos de Covid-19 y la cifra no ha surgido de la nada, por lo que solo podemos especular sobre lo que se tuvo en cuenta en los cálculos de la ICO «.