BLOOMBERG
Vulnerabilidad

Ataque cibernético a Marriott revela deficiencias del sector

La industria hotelera se había ganado la dudosa reputación de ser un lugar acogedor para los piratas informáticos.

hotel de Marriott 14122018
Antes de que Marriott International Inc. revelara la enorme violación seguridad, la industria hotelera se había ganado la dudosa reputación de ser un lugar acogedor para los piratas informáticos. | Bloomberg

Mucho antes de que Marriott International Inc. revelara la enorme violación seguridad, la industria hotelera se había ganado la dudosa reputación de ser un lugar acogedor para los piratas informáticos.

Los ladrones han duplicado tarjetas de crédito, han saqueado cuentas de programas de lealtad y han montado esquemas complejos para engañar a los empleados para que descarguen softwares maliciosos. En una serie de ataques elaborados conocidos como DarkHotel, las redes en algunas propiedades fueron interceptadas para espiar a ejecutivos corporativos y políticos. En una estratagema más cruda, los delincuentes incluso han tomado el control de un sistema de entrada sin llave, bloqueando las puertas de las habitaciones hasta que el propietario del hotel pagara el rescate.

Ahora, a medida que Marriott se enfrenta a las consecuencias de su divulgación del 30 de noviembre de que los datos de hasta 500 millones de pasajeros quedaron expuestos a piratas informáticos, existe una creciente sensación de que una industria cuyo negocio fundamental es brindar seguridad del mundo real no está equipada para atender a sus huéspedes en el ciberespacio. La compañía se está preparando para entregar respuestas por escrito la próxima semana a una investigación del Senado de Estados Unidos en medio de informes de que el ataque fue llevado a cabo por el gobierno chino.

Startup asociada a Marriott y Airbnb busca financiación

Marriott aún no ha proporcionado un informe detallado del ataque, que continúa investigando. "Nuestros objetivos principales en esta investigación son averiguar qué ocurrió y cuál es la mejor manera de ayudar a nuestros huéspedes", dijo Connie Kim, portavoz de Marriott, en un comunicado enviado por correo electrónico. "No tenemos información sobre la causa de este incidente y no hemos especulado sobre la identidad del atacante".

Plataformas de comercio electrónico

Cuando Marriott pagó US$13.600 millones por Starwood Hotels & Resorts en 2016, el objetivo era tener una empresa más grande que podría competir con Google, Amazon y otras empresas en línea que utilizan su conocimiento de las preferencias de los consumidores para obtener la primacía de los clientes.

Las empresas hoteleras modernas ven a las empresas de tecnología como competidores porque funcionan como plataformas de comercio electrónico, licenciando sus marcas y motores de reserva a los inversores que poseen y administran las propiedades. Quieren impulsar la reserva directa, reducir las agencias de viajes en línea y convencer a los viajeros de que utilicen los puntos de los programas de fidelidad para pagar productos desde pañales hasta lecciones de paracaidismo, y luego adaptar sus estrategias de comercialización en función de las elecciones anteriores de los huéspedes.

Sin embargo, estos negocios tecnológicos en potencia tienen el ADN de desarrolladores inmobiliarios y empresas banqueteras, y sus tesoros de datos de clientes a menudo se acceden a través de sistemas anticuados porque los inversores sensibles al costo ven retornos más inmediatos del dinero gastado en nuevas alfombras en lugar de las medidas de seguridad intangibles. El impulso de proteger a los huéspedes puede ser moderado por el costo y la complejidad de implementar salvaguardas en los sistemas en expansión.

"Las compañías de marca toman la seguridad muy en serio, pero el costo de mantenerse al día con los cambios en la tecnología es prohibitivo", dice Chad Crandell, máximo ejecutivo de CHMWarnick LLC, asesor de inversiones en hoteles. "Gastar mucho dinero en servicio y protección y que falle, tampoco es una buena posición".

La hotelería fue la tercera industria a la que se dirigieron más ataques de piratería después del comercio minorista y las finanzas, según un informe de este año de la firma de seguridad de la información Trustwave Holdings, en un ataque que ha dejado pocos rincones de la industria indemne. Hilton Worldwide Holdings Inc., Hyatt Hotels Corp. e InterContinental Hotels Group fueron víctimas en ataques anteriores, al igual que Trump Hotels, Radisson Hotel Group y Mandarin Oriental.

Retraso en la industria

"La industria está atrasada de muchas maneras", dijo Gates Marshall, director de servicios cibernéticos de CompliancePoint, una consultora que se enfoca en la privacidad y la seguridad.

La compra de Starwood le dio a Marriott la escala como la mayor compañía hotelera del mundo, pero obtuvo más de lo que se esperaba, ya que los piratas informáticos penetraron el sistema de reservas de Starwood sin ser detectado en 2014. La compañía podría enfrentar multas de reguladores y costos de litigios de hasta US$1.000 millones, según Bloomberg Intelligence.

La directora financiera de Marriott, Leeny Oberg, dijo en una conferencia con inversionistas el 5 de diciembre que era demasiado pronto para estimar cuánto costaría el ataque y que la compañía ya estaba incrementando las inversiones en seguridad cibernética antes de descubrir la violación. Marriott contrató a un nuevo director de seguridad de la información en enero, y su declaración de representación más reciente incluía una descripción de la supervisión de la junta directiva sobre los riesgos cibernéticos que no estaba presente en las declaraciones anteriores.

Kim, portavoz de Marriott, se negó a comentar sobre la naturaleza de las inversiones de la compañía en seguridad, y dijo que Marriott actualiza la información sobre factores de riesgo a medida que cambian.

Aún queda por ver si los huéspedes del hotel castigarán a Marriott por el hackeo, especialmente porque una serie de ataques masivos en otras empresas ha insensibilizado a muchos consumidores por la pérdida de datos personales.

¿Espías del gobierno chino?

Hasta ahora, los datos de los consumidores obtenidos en el ataque de Marriott no se han anunciado en los mercados criminales. El ataque se ha vinculado a una agencia de inteligencia del gobierno chino que se dirigió a hoteles, aseguradoras y una agencia del gobierno de EE.UU., según informó el 11 de diciembre el New York Times. Eso podría ahorrarle algunas críticas a Marriott, ya que los datos de los clientes no se están vendiendo a ladrones e incluso las empresas más sofisticadas pueden ser superadas por espías de gobierno.

"Muchas empresas han estado escatimando en el presupuesto de seguridad cibernética", dijo el secretario de Comercio de EE.UU., Wilbur Ross, en la cadena de televisión CNBC en respuesta a una pregunta sobre el ataque al Marriott. "No han protegido sus propios recursos como deberían haberlo hecho. Así es que lo primero que deberían hacer es tratar de asegurarse de que han hecho más para protegerse a sí mismos de lo que habían estado haciendo".