FTC Ordena a Marriott y Starwood Mejorar las Medidas de Seguridad de Datos

La Orden de la Comisión Federal de Comercio sobre Marriott: Un Impulso por Mejorar la Seguridad Digital

En un viernes reciente, la Comisión Federal de Comercio (FTC) anunció un paso significativo en la protección de los datos del consumidor al finalizar una orden que requiere a Marriott International y su filial Starwood Hotels que mejoren sus medidas de seguridad digital. Esta decisión se produce tras múltiples violaciones de seguridad que dejaron vulnerable información sensible de los clientes.

Las Violaciones: Una Línea de Tiempo de Fallas de Seguridad

Los problemas de seguridad de Marriott comenzaron con tres infracciones importantes detectadas en 2015, 2018 y 2020, afectando a más de 344 millones de clientes a nivel mundial. Estos incidentes resultaron en la exposición de datos críticos, incluidos detalles del pasaporte, información de tarjetas de pago y otros datos personales. Notablemente:

• La infracción más corta duró un alarmante 14 meses antes de ser detectada.
• La infracción más larga vio a atacantes mantener acceso no autorizado durante casi cuatro años a partir de 2018.

Nuevas Medidas y Políticas de Seguridad

En respuesta a estas violaciones, Marriott y Starwood han acordado implementar protocolos de seguridad mejorados, que incluyen:

• Establecer políticas para retener la información del cliente solo mientras sea necesario.
• Publicar un enlace que permita a los clientes de EE. UU. solicitar la eliminación de la información asociada con sus cuentas de correo electrónico o de lealtad.

Dichas acciones representan un cambio crucial en la forma en que la industria de la hospitalidad maneja la información del cliente.

La Amenaza Creciente para la Industria de la Hospitalidad

Los hoteles se han convertido cada vez más en objetivos primordiales para los ciberdelincuentes. De hecho, un ataque de ransomware el año pasado que afectó a MGM Resorts dejó a los huéspedes y a la Presidenta de la FTC Lina Khan esperando en la fila, ya que el resort volvió a usar papel y lápiz para gestionar los registros de entrada.

Aplicación de la FTC y Cumplimiento Futuro

La FTC acusó a Marriott y Starwood de engañar a los consumidores al afirmar falsamente tener prácticas de "seguridad de datos razonables y apropiadas". Las empresas fueron criticadas por:

• Implementar protocolos de contraseña y firewall débiles.
• No parchear software y sistemas obsoletos.

Como parte de la orden, se prohíbe a Marriott hacer cualquier presentación errónea sobre sus prácticas de manejo de datos, incluidas cómo recopila, mantiene y elimina los datos de los clientes. Estos requisitos permanecerán en vigor durante 20 años.

Además, la empresa deberá mantener registros de cumplimiento y someterse a inspecciones de la FTC, asegurando la responsabilidad en sus esfuerzos de protección de datos.

El Acuerdo y la Protección del Consumidor

El mismo día que la FTC reveló sus acusaciones, la oficina del Fiscal General de Connecticut anunció que Marriott había acordado un acuerdo de $52 millones relacionado con las violaciones. Este acuerdo subraya las graves consecuencias que pueden enfrentar las empresas cuando no logran proteger los datos del consumidor.

En conclusión, a medida que la seguridad digital sigue siendo un tema apremiante en todas las industrias, el caso de Marriott sirve como un recordatorio de la necesidad crítica de que las empresas prioricen la protección de los datos del cliente e implementen medidas de seguridad robustas.