La filtración de datos de Marriott/Starwood: Por qué la gestión de riesgos de terceros es fundamental en las fusiones y adquisiciones

Cuando Marriott adquirió Starwood en 2016, la empresa heredó una plataforma de sistema de reservas comprometida que dio lugar a demandas y daños reputacionales.

Imagen decorativa

Nota del editor: Este blog es el tercero de una serie en la que se examinan las causas y los efectos de las violaciones de datos relacionadas con terceros más destacadas de la última década. No deje de consultar el blog de Risk Register para ver las próximas entregas de la serie.

Cuando Marriott adquirió Starwood en 2016, la empresa heredó una plataforma de sistema de reservas comprometida que dio lugar a demandas judiciales y daños a la reputación tras el anuncio de la filtración en 2018. Este blog repasa los antecedentes de la filtración de Marriott, los métodos utilizados por los atacantes, lo que ocurrió con los datos, el impacto de la filtración en Marriott y las lecciones que los profesionales de terceros pueden aprender de ella.

Antecedentes de la violación de datos

Cuando Marriott adquirió Starwood en 2016, desconocía que actores maliciosos tenían acceso directo a las redes y sistemas de Starwood desde 2014.Los atacantes mantuvieron el acceso a los sistemas de Starwood hasta el descubrimiento y revelación de la brecha en 2018. Los ciberdelincuentes robaron los nombres, direcciones, números de teléfono, fechas de nacimiento, direcciones de correo electrónico, datos cifrados de tarjetas de crédito, números de pasaporte e historiales de viaje de los huéspedes.

Métodos utilizados

Los delincuentes utilizaron un troyano de acceso remoto (RAT). Un RAT es un malware que permite a un actor malicioso obtener acceso remoto al ordenador de un objetivo. Los atacantes también utilizaron una herramienta de código abierto llamada Mimikatz, que busca credenciales de usuario en la memoria de un dispositivo o sistema. Ambas herramientas se utilizaron para mantener el acceso a los sistemas pirateados, moverse lateralmente dentro de la red y escalar privilegios en los sistemas comprometidos.

¿Qué ha pasado con los datos?

Los expertos en ciberseguridad creen que los responsables de la brecha fueron actores estatales. Sin embargo, a principios de 2019, la información robada aún no se había encontrado a la venta en la dark web. La gran cantidad de datos comprometidos sería útil para las agencias de inteligencia extranjeras, y estas agencias tienen la motivación y los recursos tanto para comprometer a Starwood como para analizar el conjunto de datos robados. En marzo de 2019, el consejero delegado de Marriott, Arne Sorenson, declaró ante un subcomité del Senado estadounidense que Marriott aún no había determinado quién es el responsable de la brecha.

Cómo afectó la brecha a Marriott

Tras revelarse la filtración, el precio de las acciones de Marriott cayó más de un 5%. Más recientemente, las acciones de la empresa repuntaron y no se han enfrentado a pérdidas de ingresos significativas. Sin embargo, en julio de 2019, la Oficina del Comisionado de Información (ICO) emitió un aviso de su intención de multar a Marriott International con 99.200.396 libras (123 millones de dólares) en virtud del nuevo Reglamento General de Protección de Datos (GDPR).

Además, se han presentado múltiples demandas colectivas contra Marriott. Una de las demandas es que Marriott no actuó con la diligencia debida al examinar la postura de ciberseguridad de Starwood durante el proceso de adquisición. La demanda alega que, si Marriott lo hubiera hecho, la violación de datos se habría descubierto antes de la absorción de Starwood por Marriott. A día de hoy, las demandas siguen en curso.

Lo que los profesionales de la gestión de riesgos de terceros pueden aprender de la filtración de Marriott

Hay muchas lecciones que los profesionales de la gestión de riesgos pueden aprender de la brecha de Marriott. Lo más importante es que, como parte del proceso de fusión y adquisición, Marriott debería haber llevado a cabo una diligencia debida más profunda de los controles internos y las políticas de seguridad de Starwood para determinar cómo permitían el acceso de terceros a sus sistemas, y cómo eso podría haber expuesto a Starwood. Sin embargo, esto puede ser difícil, ya que generalmente hay una visibilidad limitada y una falta de inteligencia centralizada sobre la salud empresarial de un objetivo de adquisición.

Prevalent es único porque combina evaluaciones automatizadas de proveedores con supervisión continua de amenazas en una única plataforma para obtener una visión de 360 grados de los proveedores. El resultado es la visibilidad que necesita para revelar, interpretar y mitigar los riesgos.

Con el aumento de la actividad reguladora relacionada con la seguridad de la información, las protestas de los consumidores por las filtraciones de datos y la creciente complejidad del panorama de los riesgos empresariales, las repercusiones jurídicas y financieras derivadas de las filtraciones de terceros seguirán aumentando. Con las medidas adecuadas, los profesionales de la gestión de riesgos de terceros pueden mantener los nombres de sus empresas fuera de los titulares.

Si desea más información sobre cómo Prevalent puede ayudarle a hacer frente a los complejos riesgos de terceros, póngase en contacto con nosotros hoy mismo.


Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.