Noticias
Marriott sufre otro robo de datos
Las cadenas hoteleras son, por el enorme volumen de datos personales que emplean en su operativa, un objetivo muy codiciado por los ciberdelincuentes, que llevan a cabo de manera constante campañas para intentar hacerse con esas enormes bases de datos. Y sólo tenemos que pararnos un momento a recordar todos los datos personales que tenemos que facilitar cada vez que realizamos una reserva y qué hacemos check-in en un hotel para darnos cuenta de toda la información personal que proporcionamos, para hacernos una idea bastante clara de los riesgos que esto supone sí ésta acaba en malas manos, lo que desgraciadamente es algo relativamente común.
En este caso, en esta ocasión, al menos tenemos una buena noticia que, eso sí, también viene de la mano de una bastante mala. La buena es que la filtración sólo afecta a un hotel en concreto del grupo, el BWI Airport Marriott de Maryland, Estados Unidos. La mala es que los atacantes habrían obtenido información sobre los medios de pago empleados por algunos clientes, así como “información confidencial” (no se aclaras de qué tipo) y, claro, toda la plétora de información personal que mencioné anteriormente sobre los clientes que se han alojado en este hotel del grupo Marriott.
En cuanto a la naturaleza del ataque, ambas partes (atacantes y hotel) coinciden en lo ocurrido: ingeniería social. Por medio de engaños a un miembro del staff del hotel obtuvieron la información que necesitaban para acceder al servidor del hotel y, a partir de ahí, exfiltraron alrededor de 20 gigabytes de datos. Según Marriott gran parte de dicha información era públicas y/o intrascendente, por lo que su exfiltración no plantea problema alguno, pero entre los mismos, también encontraron información sobre los empleados del hotel y de entre 300 y 400 clientes, a los que Marriott afirma que notificará sobre lo ocurrido, algo imprescindible para que puedan aportar tantas medidas como estén en su mano.
Según las averiguaciones de DataBreaches, tras producirse la brecha los atacantes ser pusieron en contacto con el hielo afectado para informar de lo sucedido y comunicar sus pretensiones económicas. Sin embargo, pese a que en un principio la comunicación fue bidireccional, en determinado momento Marriott dejó de responder a los mensajes y desde entonces no han vuelto a hacerlo. Cabe entender que a consecuencias de indicaciones por parte de terceros, ya sean cuerpos policiales, asesores externos, abogados, etcétera. En su versión del relato, lose ciberdelincuentes piensan que pudo ser por la cantidad reclamada inicialmente, muy elevada según ellos mismos, pero con respecto a este punto afirman que están dispuestos a hacer todos los descuentos que sean necesarios. Una política comercial de lo más agresiva, eso hay que reconocerlo…
Más allá de ese punto, Marriott afirma haber informado y estar colaborando con las autoridades en la investigación, y que el ataque fue detectado rápidamente, de modo que la intrusión fue puntual y lose atacantes no han podido volver a acceder al servidor comprometido, lo que nos invita a pensar que una vez obtenidas las credenciales de acceso se limitaron a descargar las activos digitales del servidor, sin llevar a cabo acciones adicionales para intentar mantener un acceso persistente al sistema. Ambas partes coinciden también en afirmar que no se produjo acceso alguno a los servidores del grupo Marriott.
El problema es que, según los atacantes, la seguridad de la infraestructura IT de este hotel era muy deficiente, lo que les permitió acceder sin problemas a información sensible. De esto podemos colegir que el hotel no cuenta (o contaba en el momento del incidente) con una política restrictiva de acceso a los datos, con soluciones que verificaran los accesos, con una segmentación adecuada, etcétera. Y lo peor es que está no es ni la primera ni la segunda vez que Marriott sufre una fuga de datos. Entre la ocurrida en 2018 y la actual se produjo una segunda.