La filtración de datos de Marriott/Starwood: por qué la gestión de riesgos de terceros es fundamental durante las fusiones y adquisiciones

Cuando Marriott adquirió Starwood en 2016, la empresa heredó una plataforma de reservas comprometida que dio lugar a demandas judiciales y daños a su reputación.

Imagen decorativa

Nota del editor: Este blog es el tercero de una serie que examina las causas y los efectos de las violaciones de datos relacionadas con terceros de alto perfil durante la última década. ¡No deje de visitar el blog Risk Register para leer las próximas entregas de la serie!

Cuando Marriott adquirió Starwood en 2016, la empresa heredó una plataforma de reservas comprometida que dio lugar a demandas judiciales y daños a la reputación tras anunciarse la filtración en 2018. Este blog repasa los antecedentes de la filtración de Marriott, los métodos utilizados por los atacantes, qué ocurrió con los datos, el impacto de la filtración en Marriott y qué lecciones pueden extraer de ella los profesionales externos.

Antecedentes de la violación de datos

Cuando Marriott adquirió Starwood en 2016, desconocía que unos delincuentes tenían acceso directo a las redes y sistemas de Starwood desde 2014. Los atacantes mantuvieron el acceso a los sistemas de Starwood hasta que se descubrió y reveló la violación de seguridad en 2018. Los delincuentes robaron los nombres, direcciones, números de teléfono, fechas de nacimiento, direcciones de correo electrónico, datos cifrados de tarjetas de crédito, números de pasaporte e historiales de viaje de los huéspedes.

Métodos utilizados

Los actores maliciosos utilizaron un troyano de acceso remoto (RAT). Un RAT es un malware que permite a un actor malicioso obtener acceso remoto al ordenador de un objetivo. Los atacantes también utilizaron una herramienta de código abierto llamada Mimikatz, que busca las credenciales de usuario en la memoria de un dispositivo o sistema. Ambas herramientas se utilizaron para mantener el acceso a los sistemas pirateados, moverse lateralmente dentro de la red y escalar privilegios en los sistemas comprometidos.

¿Qué pasó con los datos?

Los expertos en ciberseguridad creen que los responsables del ataque fueron agentes estatales. Sin embargo, a principios de 2019, la información robada aún no se había puesto a la venta en la web oscura. La gran cantidad de datos comprometidos sería útil para las agencias de inteligencia extranjeras, y estas agencias tienen la motivación y los recursos para comprometer a Starwood y analizar el conjunto de datos robados. En marzo de 2019, el director ejecutivo de Marriott, Arne Sorenson, declaró ante un subcomité del Senado de los Estados Unidos que Marriott aún no había determinado quién era el responsable de la filtración.

Cómo afectó la violación de seguridad a Marriott

Tras revelar la violación, el precio de las acciones de Marriott cayó más de un 5 %. Más recientemente, las acciones de la empresa se recuperaron y no han sufrido pérdidas significativas en sus ingresos. Sin embargo, en julio de 2019, la Oficina del Comisionado de Información (ICO) emitió un aviso de su intención de multar a Marriott International con 99 200 396 libras esterlinas (123 millones de dólares) en virtud del nuevo Reglamento General de Protección de Datos (RGPD).

Además, se han presentado múltiples demandas colectivas contra Marriott. Una de las reclamaciones es que Marriott no actuó con la debida diligencia al examinar la postura de Starwood en materia de ciberseguridad durante el proceso de adquisición. La demanda alega que, si Marriott lo hubiera hecho, la violación de datos se habría descubierto antes de la absorción de Starwood por parte de Marriott. A día de hoy, las demandas siguen en curso.

Lo que los profesionales de la gestión de riesgos de terceros pueden aprender de la filtración de datos de Marriott

Hay muchas lecciones que los profesionales de la gestión de riesgos pueden aprender del caso de Marriott. Lo más importante es que, como parte del proceso de fusión y adquisición, Marriott debería haber llevado a cabo una diligencia debida más exhaustiva sobre los controles internos y las políticas de seguridad de Starwood para determinar cómo permitían el acceso de terceros a sus sistemas y cómo eso podría haber expuesto a Starwood. Sin embargo, esto puede resultar difícil, ya que, por lo general, la visibilidad es limitada y se carece de información centralizada sobre la salud empresarial de una empresa objetivo de adquisición.

Prevalent es única en el sentido de que combinamos evaluaciones automatizadas de proveedores con supervisión continua de amenazas en una única plataforma para ofrecer una visión de 360 grados de los proveedores. El resultado es la visibilidad que necesita para revelar, interpretar y mitigar los riesgos.

Con el aumento de la actividad reguladora relacionada con la seguridad de la información, la indignación de los consumidores por las violaciones de datos y la creciente complejidad del panorama de riesgos empresariales, las repercusiones legales y financieras derivadas de las violaciones cometidas por terceros seguirán aumentando. Con las medidas adecuadas, los profesionales de la gestión de riesgos de terceros pueden evitar que el nombre de su empresa aparezca en los titulares.

Para obtener más información sobre cómo Prevalent puede ayudarle a abordar los riesgos complejos de terceros, póngase en contacto con nosotros hoy mismo.


Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.