El viernes 30 de noviembre Marriott, la cadena de hoteles más grande del mundo, sufrió un ataque informático sin precedentes. Y aunque no fue la peor violación de datos de la historia, figura en la lista de las más graves por número de afectados.
El ataque afectó a una base de datos de reservas de 500 millones de clientes de su división Starwood, la cual cuenta con marcas internacionales como Le Méridien o Sheraton.
En esa base, a la que accedió un hacker desconocido, había información "combinada" que incluía detalles como nombres, direcciones, teléfonos, cuentas de email, números de pasaporte, horas de entrada y salida al hotel e incluso información cifrada de tarjetas de crédito (esto último solo en algunos casos).
Marriott dice que los hackers "copiaron y encriptaron información" de al menos 327 millones de personas que figuraban en esa base de datos y que tuvieron acceso no autorizado a ella desde 2014.
Meses antes, en agosto de 2013, se había producido el hasta ahora mayor hackeo corporativo del que se tiene constancia: el ataque masivo a Yahoo, que afectó a unos 3.000 millones de cuentas.
Yahoo: los dos mayores ataques de la historia
La compañía, que fue vendida a Verizon en julio de 2016, admitió en 2017 que el hackeo fue mayor de lo que pensaba, pues alcanzó a toda la plataforma digital y no sola a una parte de ella.
En un comunicado oficial, Oath, la división de Verizon encargada de Yahoo, dijo en aquel momento que todas las cuentas de sus clientes se habían visto afectadas. Los hackers obtuvieron preguntas de seguridad y direcciones de email usadas para restablecer contraseñas.
Pero poco más tarde, la empresa fue de nuevo víctima de los hackers. En diciembre de 2014, una filtración de datos a gran escala dejó expuestas al menos a 500 millones de cuentas (se supo públicamente en 2016).
En esa ocasión, se comprometieron nombres, direcciones de e-mail, números de teléfono, contraseñas y, en algunos casos, preguntas de seguridad. El Departamento de Justicia de Estados Unidos culpó a cuatro individuos rusos.
El caso de Marriott
El hackeo a Marriott de este viernes se ubicaría en el tercer puesto en la lista de peores ciberataques corporativos de la historia por el número de afectados.
Pero conviene tener en cuenta que "aunque no supera a Yahoo en cuanto a la cantidad potencial de información que pudieron robar los hackers, fue uno de los que más impacto tuvo en el público general", le dijo a la cadena australiana ABC News el especialista en seguridad Jim McCoy, quien trabajó gestionando operaciones de seguridad para Facebook.
Es clave el hecho de que el tipo de información personal a la que accedieron los hackers en el caso de Marriott -como el número de pasaporte- sitúa a ese ataque en un plano importante.
Marriott tiene más de 6.700 propiedades en todo el mundo y 30 marcas hoteleras. La compañía dice que recibió una alerta interna sobre el hackeo el 8 de septiembre.
Todavía no se sabe con certeza su alcance total, ni quién lo efectuó.
Friend Finder y Equifax
Completan la lista de los mayores ataques informáticos conocidos hasta el momento el que afectó a la red de sitios web para adultos Friend Finder en 2016 y el hackeo a Equifax en 2017.
En el caso del primero, se expusieron datos de al menos 416 millones de personas, según analistas de Leaked Source. El sitio había sido previamente hackeado en mayo de 2015.
En cuanto a Equifax, una de las mayores agencias crediticias, el ataque afectó a 146 millones de clientes, la mayoría de ellos en Estados Unidos, Canadá y Reino Unido.
¿Qué hacer si fuiste uno de los afectados?
El grupo Marriott dijo que contactaría a los clientes afectados cuyas direcciones de correo electrónico estaban en la base de datos de reservas de Starwood.
Los registros afectados contenían detalles de las reservas efectuadas hasta el 10 de septiembre de 2018.
La empresa creó un sitio web para brindar más información a los clientes implicados: answers.kroll.com.
También ofrecerá a los clientes en Estados Unidos y en algunos otros países una suscripción de un año a un servicio de detección de fraudes.
Marriott no está segura de si los atacantes pudieron obtener información de los medios de pago, por lo tanto, es conveniente que tengas en cuenta cualquier transacción sospechosa en tu cuenta.
También debes estar alerta por si los estafadores enviaron correos electrónicos masivos simulando representar al grupo Marriott, una técnica extendida entre los estafadores que se conoce como phishing.
La compañía anunció que no incluirá archivos adjuntos en sus correos electrónicos de notificación y no solicitará información personal por correo electrónico.
Los 5 mayores ataques informáticos de la historia (por número de clientes afectados)
- Yahoo: 3.000 millones (2014) y 500 millones (2013)
- Marriott: 500 millones (2014)
- Friend Finder: 412 millones (2016)
- Equifax: 146 millones (2017)