Los ciberdelincuentes no se van de vacaciones, aunque sí que visitan los hoteles "a su manera". Marriott International, una de las mayores cadenas hoteleras del mundo con más de 6.500 establecimientos en más de 120 países, ha confirmado una violación de datos que habría dejado expuesta información sensible de huéspedes y trabajadores, como la relativa a su tarjeta de crédito.
Un portavoz de la compañía ha compartido que el problema podría haberse iniciado a través de la ingeniería social. Los actores de amenazas habrían usado esta técnica para engañar a un asociado de un hotel en particular para acceder a su ordenador.
Según señalan desde Marriott, este acceso no autorizado solo se produjo durante "el corto período de tiempo de un día". Además, revelan que pudieron identificar e investigar el incidente antes de que el cibermalo contactara a la empresa para tratar de extorsionarla. En este punto han dejado claro que no pagaron nada.
El grupo que se atribuyó la responsabilidad del ataque informó a Databreaches.net que se había hecho con cerca de 20 GB de datos de un empleado del BWIAirport Marriott en Baltimore (EE.UU), que incluían información de tarjetas de crédito y datos confidenciales sobre huéspedes y trabajadores.
Los atacantes enviaron emails a "numerosos empleados" informándoles de la violación.
Desde Marriott aseguran haber puesto el incidente en manos de la policía. Se han comprometido a notificar a entre 300 y 400 personas y los reguladores, según lo requerido.
Además, afirman que los datos robados eran "archivos comerciales internos no confidenciales sobre el funcionamiento de la propiedad".
Otros problemas de seguridad de Marriott
Lamentablemente, esta no es la primera brecha de seguridad que sufre la cadena hotelera. En abril de 2020, en plena pandemia, Marriott sufrió otra violación de datos que impactó en más de 5,2 millones de clientes.
Además, dos años antes, en 2018, experimentó otra brecha que expuso los datos personales de 500 millones de huéspedes.