Marriott acepta pagar 52 millones de dólares como compensación por violaciones de datos.
La empresa también debe reponer los puntos de lealtad que fueron robados a los clientes.
Marriott ha llegado a un acuerdo para pagar 52 millones de dólares como compensación a 49 estados y Washington, D.C., debido a una serie de brechas de seguridad que ocurrieron entre 2014 y 2020, las cuales afectaron a más de 334 millones de clientes. Como parte de un acuerdo adicional, la Comisión Federal de Comercio (FTC) también ha exigido a Marriott y a su filial, Starwood Hotels & Resorts Worldwide, que implementen un programa de seguridad de la información para rectificar las acusaciones relacionadas con estas brechas de datos.
Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC, afirmó que "las deficientes prácticas de seguridad de Marriott condujeron a múltiples violaciones que afectaron a cientos de millones de clientes". Según él, la acción tomada por la FTC en conjunto con las autoridades estatales busca asegurar que Marriott mejore sus prácticas de seguridad de datos en sus hoteles alrededor del mundo.
La FTC sostiene que Marriott y Starwood, adquirida en 2016, engañaron a sus clientes al afirmar que contaban con medidas de seguridad de datos adecuadas y razonables, cuando en realidad dejaban a estos vulnerables a ataques. La denuncia de la FTC alega que Marriott no implementó controles de contraseña apropiados, no estableció cortafuegos ni segmentó correctamente las redes. Además, la empresa no actualizó software y sistemas obsoletos y no aplicó autenticación multifactor, según la FTC.
Un caso específico, descubierto en 2020, involucró el robo de cerca de 20GB de datos de empleados y clientes del Marriott del Aeropuerto BWI, en Baltimore, Maryland. Esta información incluía documentos empresariales confidenciales y datos de pago de los clientes, como formularios de autorización de tarjetas de crédito.
Dentro del acuerdo, Marriott ha aceptado ofrecer a todos los clientes en EE. UU. un método para solicitar la eliminación de cualquier información personal vinculada a sus direcciones de correo electrónico o números de cuentas de recompensas. La FTC informa que los datos expuestos durante las brechas incluían información de pasaportes, números de tarjetas de crédito y débito, fechas de nacimiento, direcciones de correo electrónico, números de lealtad, entre otros. Marriott también debe revisar las cuentas de recompensas y reponer los puntos robados a los clientes a su petición.