CIBERSEGURIDAD

Por qué otras cadenas de hoteles podrían caer víctimas de una filtración de datos al estilo de Marriott.

0 69 3 minutos de lectura

Escrito por Bernard Parsons, director ejecutivo de Becrypt



Si bien estoy seguro de que más detalles detrás de la violación de datos de Marriott saldrán a la luz lentamente en los próximos meses, ya hay mucho sobre lo que reflexionar dadas las revelaciones iniciales y las hipótesis que la acompañan.

Con las perspectivas de multas regulatorias y juicios que se avecinan, asimilar la gran magnitud de las cifras involucradas es naturalmente alarmante. Hasta 500 millones de registros que contienen información personal y potencialmente financiera es bastante asombroso. A los ojos de la Oficina del Comisionado de Información (ICO, por sus siglas en inglés), esto se considera una ‘Mega Violación’, a pesar de que no llega a la violación de datos de Yahoo. Pero igualmente preocupantes son los diversos plazos informados.

Marriott dijo que la violación involucró acceso no autorizado a una base de datos que contiene información de huéspedes de las propiedades de Starwood, el 10 de septiembre de 2018 o antes. Su investigación en curso sugiere que los perpetradores habían estado dentro de las redes de la compañía desde 2014.

Starwood reveló su propia infracción en noviembre de 2015 que se remonta al menos a noviembre de 2014. Se dijo que la intrusión involucraba software malicioso instalado en cajas registradoras y otros sistemas de pago, que no formaban parte de sus sistemas de membresía o reservas de huéspedes.

El alcance de las responsabilidades regulatorias de Marriott estará determinado por una serie de factores que aún no son del dominio público. Para GDPR, esto incluirá la fecha en la que se informó a la ICO, los procesos que Marriott ha llevado a cabo desde el descubrimiento y hasta qué punto ha seguido las « mejores prácticas » antes, durante y después del descubrimiento de la infracción. A pesar de la magnitud y la naturaleza de la infracción, no es imposible imaginar que Marriott podría haber seguido las mejores prácticas, aunque ese término no está bien definido actualmente, pero es bastante fácil imaginar que sus procesos y controles reflejan la práctica común.

Una búsqueda rápida en Internet revela cuán comunes y aparentemente inevitables son las infracciones de la industria. En diciembre de 2016, se informó que un patrón de transacciones fraudulentas con tarjetas de crédito se vinculó al uso en las propiedades de InterContinental Hotels Group (IHG). IHG declaró que la intrusión se debió a malware instalado en sistemas de punto de venta en restaurantes y bares de 12 propiedades en 2016, y más tarde en abril de 2017, reconociendo que las cajas registradoras en más de 1,000 de sus propiedades estaban comprometidas.

Según KrebsOnSecurity, otras infracciones de tarjetas informadas incluyen Hyatt Hotels (octubre de 2017), Trump Hotel (julio de 2017), Kimpton Hotels (septiembre de 2016), propiedades de Mandarin Oriental (2015) y propiedades de Hilton Hotel (2015).

Por lo tanto, quizás, las lecciones más importantes que se pueden aprender en respuesta a tales violaciones son aquellas que buscan comprender los factores que hacen que las violaciones de datos sean casi inevitables en la actualidad. Si bien es Marriott en las noticias esta semana, los desafíos que enfrentamos colectivamente son sistémicos y muy fácilmente podría ser otra cadena de hoteles la próxima semana.

Reflexionar sobre el papel de los sistemas de pago (EPOS) y las cajas registradoras dentro de las infracciones de la industria del ocio es ilustrativo del desafío. Pegue la frase ‘software EPOS’ en su motor de búsqueda favorito y vea cuán prominente, o incluso ausente, es la noción de seguridad. ¿Es de extrañar que las organizaciones a menudo conecten involuntariamente dispositivos con vulnerabilidades comunes y, a menudo, no administradas a sistemas que al mismo tiempo pueden usarse para procesar datos confidenciales? Muchos sistemas EPOS ejecutan de manera efectiva sistemas operativos de propósito general, pero generalmente están sujetos a menos controles y monitoreo que los sistemas de TI convencionales.

Entonces, ¿por qué es esto?
A menudo, la organización no puede justificar tener un sistema operativo completo y herramientas de defensa sofisticadas en estos sistemas, especialmente cuando tienen una gran cantidad de ellos implementados en el campo, accediendo a aplicaciones personalizadas o en línea. A menudo, se encuentran en ubicaciones muy dispersas geográficamente, lo que significa que hay costos significativos para actualizarlos, mantenerlos, administrarlos y repararlos.

Asimismo, las organizaciones no siempre cuentan con los recursos de TI locales en muchas de estas ubicaciones para mantener el equipo y su seguridad por sí mismas.

Aunque actualmente se está arrojando luz sobre Marriott, quizás nuestras preocupaciones deberían ser mucho más amplias. Si los problemas son sistémicos, debemos pensar en cómo se integra una mejor seguridad en los sistemas y cadenas de suministro que utilizamos de forma predeterminada, en lugar de esperar que los hoteles u organizaciones similares de otras industrias sean lo suficientemente expertos. ¿Es el hotel, como usuario final, lo que debería estar en los titulares, o cómo los estándares, expectativas y regulaciones se aplican al ecosistema que rodea al ocio y otras industrias? ¿O debería centrarse en cómo se debe mejorar esto para permitir que las empresas se centren en lo que hacen mejor, sin ser una presa tan fácil?

Publicaciones relacionadas

La señal corrige la interrupción después de la oleada de nuevos usuarios

Telekom Austria dice que el servicio móvil se vio afectado por un ciberataque

La encuesta de Synopsys revela que solo la mitad de los flujos de trabajo de CI / CD incluyen elementos de prueba de seguridad de aplicaciones

Facebook utilizará IA para abordar el extremismo en línea

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar