Es demasiado pronto para que Marriott International Inc. calcule el costo del gigantesco ataque cibernético que la compañía dio a conocer la semana pasada, y otras compañías que han sufrido grandes ataques son referenciales imperfectos, dijo hoy el director de finanzas de la empresa, Leeny Oberg, en una conferencia de inversionistas.
"Cualquier situación que uno haya visto de otras compañías, todas son totalmente individuales, y nadie debería hacer una suposición acerca de que, si fue así para una compañía, será así para otra", dijo Oberg en la Conferencia de Alojamiento y Juegos de Barclays, en los primeros comentarios públicos por parte de un alto ejecutivo desde que la compañía reveló el hackeo. "Sí esperas que haya costos materiales asociados a esto".
Marriott dijo el 1 de diciembre que los datos personales de hasta 500 millones de huéspedes fueron expuestos en el ataque, según el comunicado de la compañía. El ataque afectó el sistema de Starwood Hotels and Resorts, que Marriott adquirió por US$13.600 millones en 2016, y en algunos casos expuso datos de tarjetas de crédito, números de pasaporte e información de cuentas de fidelización.
La compañía podría enfrentar multas y gastos de litigación por valor de US$200 millones, y podría gastar alrededor de US$1 por cliente para notificar a las víctimas y proporcionar servicios gratuitos de monitoreo de datos, según una nota de Morgan Stanley de la semana pasada.
La responsabilidad legal de la empresa podría ser aún mayor, según los analistas de Bloomberg Intelligence Tamlin Bason y Holly Froum, que estimaron costos de hasta US$1.000 millones, incluida una posible multa de unos US$450 millones –o alrededor del 2 por ciento de los ingresos de la empresa en 2017–, según el Reglamento General de Protección de Datos de Europa.
Varias investigaciones
Ahora Marriott se enfrenta a investigaciones de los fiscales generales estatales, de los reguladores europeos y a la posibilidad de un litigio de protección al consumidor. La empresa también se enfrenta a la presión de la Comisión de Comercio del Senado, que fijó como fecha límite el 17 de diciembre para que la empresa proporcione detalles de su investigación y una cronología de los acontecimientos.
Marriott todavía está investigando el alcance del ataque y está en proceso de notificar a los clientes, según una portavoz. La compañía dijo que pagará por un servicio de monitoreo en línea, y que también cubrirá el costo de reemplazo de pasaportes. La firma cuenta con un seguro que cubrirá algunos de esos costos.
Según un informe de este año de Trustwave Holdings, empresa de seguridad de la información, la hotelería fue el tercer sector más afectado. Es común que los ladrones intervengan los lectores de tarjetas de crédito en los ataques en los puntos de venta, al igual que las campañas diseñadas para engañar a los empleados de recepción para que descarguen softwares maliciosos.
Hackeos anteriores
Hilton Worldwide Holdings Inc., Hyatt Hotels Corp. e InterContinental Hotels Group han sido blanco de ataques en el pasado, aunque el robo de datos del Marriott eclipsa esos hackeos en cuanto al número de huéspedes afectados.
Marriott ha estado invirtiendo durante años en mejorar la seguridad de los datos, y está aumentando la inversión aún más rápido como resultado del ataque, dijo Oberg.
"Al pensar en el sistema que existía en 2013, 2014, 2015 en las empresas en general en Estados Unidos, en comparación con el actual, ya ha habido una mejora drástica", dijo Oberg. "Esto se trata de seguir el ritmo de los malos. Se están volviendo más sofisticados".