¿Espionaje, robo de identidad? Los riesgos de Stolen Marriott Data Myriad
VOA - INGLÉS
Los datos robados del imperio hotelero de Marriott en una brecha masiva son tan ricos y específicos que podrían usarse para espionaje, robo de identidad, ataques de reputación e incluso robos a hogares, dicen expertos en seguridad.
Los piratas informáticos robaron datos de hasta 500 millones de huéspedes de las antiguas cadenas de tiendas de Starwood durante cuatro años, incluidos números de tarjetas de crédito y pasaportes, fechas de nacimiento, números de teléfono y fechas de llegada y salida del hotel.
Es una de las mayores violaciones de datos en el registro. En comparación, el hackeo de Equifax del año pasado afectó a más de 145 millones de personas. El incumplimiento de Target en 2013 afectó a más de 41 millones de cuentas de tarjetas de pago y expuso la información de contacto de más de 60 millones de clientes.
Datos especialmente sensibles
Pero el objetivo aquí, los hoteles donde las transacciones comerciales de alto riesgo, las citas románticas y el espionaje son moneda diaria, hace que los datos recopilados sean especialmente sensibles.
Jesse Varsalone, un experto en ciberseguridad de la Universidad de Maryland, dijo que el sistema de reservas afectado podría ser extremadamente atractivo para los espías del estado-nación interesados en los viajes de militares y altos funcionarios del gobierno.
"Hay tantas cosas que puede extrapolar de las personas que se alojan en hoteles", dijo Varsalone.
Y como los datos incluían reservas para futuras estadías, junto con las direcciones de las casas, los ladrones podían aprender cuándo alguien no estaría en casa, dijo Scott Grissom, de LegalShield, un proveedor de servicios legales.
Hoteles de la marca Starwood
Las marcas hoteleras afectadas fueron operadas por Starwood antes de ser adquiridas por Marriott en 2016. Incluyen W Hotels, St. Regis, Sheraton, Westin, Element, Aloft, The Luxury Collection, Le Meridien y Four Points. Las propiedades de tiempo compartido de la marca Starwood también se vieron afectadas. Ninguna de las cadenas de la marca Marriott fue amenazada.
Las notificaciones por correo electrónico para aquellos que pueden haber sido afectados comienzan a extenderse el viernes y el alcance completo de la violación no se aclaró de inmediato.
Marriott intentaba determinar si los registros robados incluían duplicados, como que una sola persona se quedara varias veces.
Incumplimiento no detectado por un tiempo.
Los analistas de seguridad se alarmaron especialmente al enterarse de la no detectada longevidad de la brecha. Marriott dijo que lo detectó por primera vez el 8 de septiembre, pero no pudo determinar hasta la semana pasada qué datos posiblemente se habían expuesto debido a que los ladrones usaron el cifrado para eliminarlos y evitar la detección.
Marriott dijo que aún no sabía cuántos números de tarjetas de crédito podrían haber sido robados. Una portavoz dijo el sábado que aún no podía responder preguntas como si la intrusión y el robo de datos fueron cometidos por uno o varios grupos.
El experto en seguridad cibernética, Andrei Barysevich, de Recorded Future, dijo el sábado que creía que la violación estaba motivada financieramente.
El experto en pandillas de ciberdelito en robo de tarjetas de crédito, como el grupo del este de Europa conocido como Fin7, podría ser sospechoso, dijo, y señaló que un proveedor de tarjetas de crédito de la web oscura anunció recientemente que pronto estarán disponibles 2.6 millones de tarjetas robadas de una cadena de hoteles sin nombre. El inframundo criminal en línea.
"Tendremos que esperar hasta un informe forense oficial, aunque es posible que Marriott nunca comparta sus conclusiones abiertamente", dijo.
Marriott dijo que la información de la tarjeta de crédito robada estaba encriptada, pero que los piratas informáticos podrían haber obtenido los "dos componentes necesarios para descifrar los números de las tarjetas de pago". Dijo que no puede "descartar la posibilidad de que se tomaron ambos".
Leyes de privacidad
Para hasta dos tercios de los afectados, los datos expuestos podrían incluir direcciones de correo, números de teléfono, direcciones de correo electrónico y números de pasaportes. También fechas de nacimiento, sexo, fechas de reserva, horarios de llegada y salida e información de la cuenta de Starwood Preferred Guest.
La violación de la información personal podría poner a Marriott en violación de las nuevas leyes de privacidad europeas, ya que los huéspedes incluyen a los viajeros europeos.
Marriott creó un sitio web y un centro de llamadas para los clientes que creen que están en riesgo.
El FBI dijo que cualquier persona contactada por Marriott debería "tomar medidas para monitorear y salvaguardar su información de identificación personal y reportar cualquier caso sospechoso de robo de identidad al Centro de Quejas de Delitos por Internet del FBI en www.ic3.gov".
Los números de pasaporte han sido previamente parte de un hack, aunque no es común. Estaban entre los registros de 9,4 millones de pasajeros de la aerolínea con sede en Hong Kong, Cathay Pacific, obtenidos en una infracción anunciada en octubre.
Combinado con nombres, direcciones y otra información personal, los números de pasaporte son una preocupación mayor que los números de tarjetas de crédito robadas porque los ladrones podrían usarlos para abrir cuentas fraudulentas, dijo el analista Ted Rossman de CreditCards.com.
Los hoteles siempre son una fuente de información.
El robo de datos destaca cuán peligrosos pueden ser los hoteles para las personas preocupadas por su privacidad.
"Los hoteles han sido durante mucho tiempo importantes fuentes gubernamentales de información local para rastrear a los extranjeros: los sistemas de reservación y los programas de lealtad tomaron la vigilancia global y nos facilitaron la renuncia a nuestra privacidad", dijo Colin Bastable, CEO de Lucy Security.
Las agencias de inteligencia, incluida la Seguridad Nacional de los EE. UU., Están bien conectadas con la industria mundial de los viajes "por medios justos o ilegales", dijo, los ciberdelincuentes no gubernamentales ahora tienen las mismas herramientas de piratería.
"Los consumidores se han convertido en daños colaterales", dijo. "Y todos somos consumidores". Él aconseja proporcionar a los hoteles la menor información posible al hacer reservaciones y registrarse.
El año pasado, la firma de ciberseguridad FireEye destacó un esfuerzo en el que agentes estatales rusos supuestamente intentaron infiltrarse en los sistemas de reserva de hoteles en Europa y Medio Oriente.
21 millones de miembros del programa Starwood
Cuando su adquisición por parte de Marriott se anunció por primera vez en 2015, Starwood tenía 21 millones de personas en su programa de lealtad. La compañía administra más de 6,700 propiedades en todo el mundo, la mayoría en América del Norte.
Marriott, con sede en Bethesda, Maryland, dijo en una presentación reglamentaria que era demasiado pronto para decir qué impacto financiero podría tener la brecha en la empresa. Dijo que tiene un seguro cibernético y está trabajando con sus operadores para evaluar la cobertura.
Los funcionarios electos se apresuraron a llamar a la acción.
El fiscal general de Nueva York abrió una investigación.
El senador de Virginia, Mark Warner, dijo que Estados Unidos necesita leyes que limiten la información que las empresas pueden recopilar sobre los clientes y garantizar que las empresas asuman los costos de seguridad en lugar de hacer que los consumidores "asuman la carga y los daños derivados de estos fallos".
Los datos robados del imperio hotelero de Marriott en una brecha masiva son tan ricos y específicos que podrían usarse para espionaje, robo de identidad, ataques de reputación e incluso robos a hogares, dicen expertos en seguridad.
Los piratas informáticos robaron datos de hasta 500 millones de huéspedes de las antiguas cadenas de tiendas de Starwood durante cuatro años, incluidos números de tarjetas de crédito y pasaportes, fechas de nacimiento, números de teléfono y fechas de llegada y salida del hotel.
Es una de las mayores violaciones de datos en el registro. En comparación, el hackeo de Equifax del año pasado afectó a más de 145 millones de personas. El incumplimiento de Target en 2013 afectó a más de 41 millones de cuentas de tarjetas de pago y expuso la información de contacto de más de 60 millones de clientes.
Datos especialmente sensibles
Pero el objetivo aquí, los hoteles donde las transacciones comerciales de alto riesgo, las citas románticas y el espionaje son moneda diaria, hace que los datos recopilados sean especialmente sensibles.
Jesse Varsalone, un experto en ciberseguridad de la Universidad de Maryland, dijo que el sistema de reservas afectado podría ser extremadamente atractivo para los espías del estado-nación interesados en los viajes de militares y altos funcionarios del gobierno.
"Hay tantas cosas que puede extrapolar de las personas que se alojan en hoteles", dijo Varsalone.
Y como los datos incluían reservas para futuras estadías, junto con las direcciones de las casas, los ladrones podían aprender cuándo alguien no estaría en casa, dijo Scott Grissom, de LegalShield, un proveedor de servicios legales.
Hoteles de la marca Starwood
Las marcas hoteleras afectadas fueron operadas por Starwood antes de ser adquiridas por Marriott en 2016. Incluyen W Hotels, St. Regis, Sheraton, Westin, Element, Aloft, The Luxury Collection, Le Meridien y Four Points. Las propiedades de tiempo compartido de la marca Starwood también se vieron afectadas. Ninguna de las cadenas de la marca Marriott fue amenazada.
Las notificaciones por correo electrónico para aquellos que pueden haber sido afectados comienzan a extenderse el viernes y el alcance completo de la violación no se aclaró de inmediato.
Marriott intentaba determinar si los registros robados incluían duplicados, como que una sola persona se quedara varias veces.
Incumplimiento no detectado por un tiempo.
Los analistas de seguridad se alarmaron especialmente al enterarse de la no detectada longevidad de la brecha. Marriott dijo que lo detectó por primera vez el 8 de septiembre, pero no pudo determinar hasta la semana pasada qué datos posiblemente se habían expuesto debido a que los ladrones usaron el cifrado para eliminarlos y evitar la detección.
Marriott dijo que aún no sabía cuántos números de tarjetas de crédito podrían haber sido robados. Una portavoz dijo el sábado que aún no podía responder preguntas como si la intrusión y el robo de datos fueron cometidos por uno o varios grupos.
El experto en seguridad cibernética, Andrei Barysevich, de Recorded Future, dijo el sábado que creía que la violación estaba motivada financieramente.
El experto en pandillas de ciberdelito en robo de tarjetas de crédito, como el grupo del este de Europa conocido como Fin7, podría ser sospechoso, dijo, y señaló que un proveedor de tarjetas de crédito de la web oscura anunció recientemente que pronto estarán disponibles 2.6 millones de tarjetas robadas de una cadena de hoteles sin nombre. El inframundo criminal en línea.
"Tendremos que esperar hasta un informe forense oficial, aunque es posible que Marriott nunca comparta sus conclusiones abiertamente", dijo.
Marriott dijo que la información de la tarjeta de crédito robada estaba encriptada, pero que los piratas informáticos podrían haber obtenido los "dos componentes necesarios para descifrar los números de las tarjetas de pago". Dijo que no puede "descartar la posibilidad de que se tomaron ambos".
Leyes de privacidad
Para hasta dos tercios de los afectados, los datos expuestos podrían incluir direcciones de correo, números de teléfono, direcciones de correo electrónico y números de pasaportes. También fechas de nacimiento, sexo, fechas de reserva, horarios de llegada y salida e información de la cuenta de Starwood Preferred Guest.
La violación de la información personal podría poner a Marriott en violación de las nuevas leyes de privacidad europeas, ya que los huéspedes incluyen a los viajeros europeos.
Marriott creó un sitio web y un centro de llamadas para los clientes que creen que están en riesgo.
El FBI dijo que cualquier persona contactada por Marriott debería "tomar medidas para monitorear y salvaguardar su información de identificación personal y reportar cualquier caso sospechoso de robo de identidad al Centro de Quejas de Delitos por Internet del FBI en www.ic3.gov".
Los números de pasaporte han sido previamente parte de un hack, aunque no es común. Estaban entre los registros de 9,4 millones de pasajeros de la aerolínea con sede en Hong Kong, Cathay Pacific, obtenidos en una infracción anunciada en octubre.
Combinado con nombres, direcciones y otra información personal, los números de pasaporte son una preocupación mayor que los números de tarjetas de crédito robadas porque los ladrones podrían usarlos para abrir cuentas fraudulentas, dijo el analista Ted Rossman de CreditCards.com.
Los hoteles siempre son una fuente de información.
El robo de datos destaca cuán peligrosos pueden ser los hoteles para las personas preocupadas por su privacidad.
"Los hoteles han sido durante mucho tiempo importantes fuentes gubernamentales de información local para rastrear a los extranjeros: los sistemas de reservación y los programas de lealtad tomaron la vigilancia global y nos facilitaron la renuncia a nuestra privacidad", dijo Colin Bastable, CEO de Lucy Security.
Las agencias de inteligencia, incluida la Seguridad Nacional de los EE. UU., Están bien conectadas con la industria mundial de los viajes "por medios justos o ilegales", dijo, los ciberdelincuentes no gubernamentales ahora tienen las mismas herramientas de piratería.
"Los consumidores se han convertido en daños colaterales", dijo. "Y todos somos consumidores". Él aconseja proporcionar a los hoteles la menor información posible al hacer reservaciones y registrarse.
El año pasado, la firma de ciberseguridad FireEye destacó un esfuerzo en el que agentes estatales rusos supuestamente intentaron infiltrarse en los sistemas de reserva de hoteles en Europa y Medio Oriente.
21 millones de miembros del programa Starwood
Cuando su adquisición por parte de Marriott se anunció por primera vez en 2015, Starwood tenía 21 millones de personas en su programa de lealtad. La compañía administra más de 6,700 propiedades en todo el mundo, la mayoría en América del Norte.
Marriott, con sede en Bethesda, Maryland, dijo en una presentación reglamentaria que era demasiado pronto para decir qué impacto financiero podría tener la brecha en la empresa. Dijo que tiene un seguro cibernético y está trabajando con sus operadores para evaluar la cobertura.
Los funcionarios electos se apresuraron a llamar a la acción.
El fiscal general de Nueva York abrió una investigación.
El senador de Virginia, Mark Warner, dijo que Estados Unidos necesita leyes que limiten la información que las empresas pueden recopilar sobre los clientes y garantizar que las empresas asuman los costos de seguridad en lugar de hacer que los consumidores "asuman la carga y los daños derivados de estos fallos".
.jpg)
Entradas
Post a Comment