Ni nos despeinamos ya al oír algo tan increíble como esto. ¿Qué son 500 millones de cuentas de Marriott? No mucho, parece, sobre todo cuando las comparamos con las 3.000 millones de cuentas que estuvieron expuestas en Yahoo! o el reciente caos de Cambridge Analytica y Facebook que fue menor en cantidad pero mucho más relevante en impacto.
Lo cierto es que el suceso es más importante de lo que parece, porque 500 millones de clientes de esta cadena hotelera podrían ver expuestos algunos datos personales, algo que plantea amenazas como las de la suplantación de identidad o la ingeniería social haciendo uso de esos datos. La seguridad de nuestros datos y su privacidad vuelven a escena, y es necesaria otra reflexión sobre esta amenaza permanente.
Un robo de datos mastodóntico
Marriott International indicaba hoy cómo la base de datos de reservas de su división Starwood Hotel fue hackeada en 2014, y desde entonces ha habido potencial acceso a los datos de los clientes que han realizado reservas en dicha cadena.
Eso supone que la información de 500 millones de clientes podría estar expuesta, y en la investigación interna se reveló que esos accesos no autorizados sirvieron para extraer y cifrar la información.
La empresa afirma haber dado los pasos necesarios para rectificar la situación, pero el impacto del problema es claro: para 327 millones de clientes entre esos datos estaban el nombre, dirección postal, dirección de e-mail, número de móvil, número de pasaporte, fecha de nacimiento, género y algunos detalles adicionales. El resto de clientes afectados no tenían tantos datos accesibles.
En algunos casos había también datos de las tarjetas de crédito con las que se pagaron los servicios en esos hoteles, aunque según los portavoces de Marriott esa información está cifrada. Según Reuters "se necesitan dos componentes para descifrar los números de las tarjetas de crédito, y en estos momentos Marriot ha indicado que no ha sido capaz de descartar la posibilidad de que ambos hayan sido robados".
La seguridad como pilar fundamental
Una vez más nos vemos enfrentados a estos robos masivos de información, y una vez más nos preguntamos cómo ha podido pasar en empresas de la dimensión de las que se ven afectadas por estos problemas.
Ningún sistema es 100% seguro y menos en los tiempos que corren, pero lo cierto es que cuando se trata de la protección de nuestros datos las empresas se vuelven a mostrar ineficientes con la aplicación de mecánicas de seguridad.
Esa es toda una condena para los usuarios que ceden sus datos a terceras partes creyendo que están seguros para encontrarse con que no lo estaban tanto. No hablamos ya de términos de privacidad potencialmente perjudiciales para los usuarios —qué comparte esa empresa de nosotros y con quién— sino de fallos de seguridad que hacen que esa información privada esté en manos de otros.
La tragedia aquí es que todos estos fallos de seguridad están convirtiendo algo terrible en algo cotidiano. Ya no nos asombra oír que 500 millones de cuentas (¡500 millones!) han sido extraídas de una base de datos como la de Marriott. La privacidad vuelve a perder la batalla, y no parece que haya muchos esfuerzos por corregir la situación.
De hecho quizás aquí los grandes organismos reguladores deberían tomar cartas en el asunto y poner fuertes restricciones a este tipo de descuidos. La GDPR es una legislación en esa línea —con sus propias sombras, eso sí—, pero las empresas que sufren estos problemas no parecen sufrir consecuencia alguna a pesar del daño a los clientes.
En el Reino Unido Facebook por ejemplo fue condenada con una multa de apenas 565.000 euros gracias en parte a que la GDPR aún no había entrado en vigor cuando se produjo el escándalo, y quizás tanto en este como en el resto de casos este tipo de problemas deberían ser sancionados de forma mucho más severa.
Ver 2 comentarios