Marriott International ha informado de que ha sufrido una ciberintrusión ilegal a la base de datos de reservas de la marca Starwood Hotels desde 2014, lo que ha podido comprometer información personal de unos 500 millones de clientes.

La compañía afirma que de todos los afectados, unos 327 millones podrían haber sufrido el robo de datos personales tales como nombre, dirección postal, número de teléfono, dirección de correo electrónico, número de pasaporte, cuenta de Starwood Preferred Guest ("SPG"), fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva, y preferencias de comunicación.

En algunos no especificados, la información comprometida incluye los números de las tarjetas bancarias y las fechas de vencimiento de las mismas. Si bien los números de las tarjetas se cifraron utilizando el esquema estándar de cifrado avanzado AES-128, "hay dos componentes necesarios para descifrar los números de las tarjetas de pago y, en este momento, Marriott no puede descartar la posibilidad de que se hayan robado ambos", afirma en una nota pública.

La compañía ha reconocido en el mismo comunicado que tuvo noticia de la brecha de seguridad a raíz de una alerta de una de sus herramientas internas, el pasado 8 de septiembre. En una investigación adicional, la cadena de hoteles se enteró de que los ciberintrusos ya habían podido acceder a los datos expuestos desde hace nada menos que cuatro años.

Marriott International, que compró Starwood en 2016, ha denunciado el incidente a la policía y ha comenzado a notificar a las autoridades reguladoras. Asimismo, se ha comprometido a enviar correos electrónicos a los clientes afectados; a algunos de los contactados está ofreciendo invitaciones gratis para abrir una cuenta en WebWatcher, un servicio de monitoreo de información personal.

También pide a sus clientes que controlen sus cuentas para detectar actividades sospechosas, que cambien las contraseñas de sus cuentas y que verifiquen el estado de las tarjetas de crédito para detectar actividades no autorizadas.

"Aún estamos investigando la situación, por lo que no tenemos una lista de hoteles específicos. Lo que sí sabemos es que solo afectó a las marcas de Starwood", dijo el portavoz de Marriott Jeff Flaherty.

La multinacional hotelera asegura que es demasiado pronto para estimar el impacto financiero de este agujero de seguridad y que no afectará su salud financiera a largo plazo. De momento, trabaja con sus compañías de seguros para evaluar la cobertura.

Los grupos hoteleros se han convertido últimamente en un objetivo de los ciberdelincuentes, que buscan robar información como datos de tarjetas de crédito. El año pasado, tanto InterContinental Hotels Group como Hyatt Hotels fueron víctimas de ataques cibernéticos.

La revelación de hoy marca una de las fugas de datos corporativos más grandes de la historia, la segunda en cantidad de afectados después de la que sufrió Yahoo en 2017, cuando reconoció que los datos de 3.000 millones de cuentas de varios de sus servicios estaban comprometidos. Por su parte, AdultFriendFinder reveló en 2016 que 412 millones de cuentas fueron hackeadas.