La cadena hotelera Marriott lleva más de cinco años manteniendo que, durante la filtración masiva de datos que Ella fue víctima en 2018Su nivel de cifrado (AES-128) era tan fuerte que el caso en su contra fue desestimado. Pero en una audiencia celebrada el 10 de abril, sus abogados admitieron que nunca había utilizado este protocolo en el momento de la filtración. De hecho, en ese momento, estaba utilizando el Secure Hash Algorithm 1 (SHA-1), que es un mecanismo de hash, no de cifrado. En la audiencia celebrada en el Tribunal de Distrito de los Estados Unidos para Maryland, División Sur, el juez John Preston Bailey ordenó a Marriott “corregir cualquier información que apareciera en su sitio web en un plazo de siete días”.

Marriott no emitió un comunicado de prensa ni anunció el cambio en su página de inicio. En cambio, la empresa agregó dos oraciones a una página de su sitio web con fecha del 4 de enero de 2019. La única forma en que los consumidores, accionistas, periodistas o cualquier otra persona lo verán es Para hacer clic en la página de hace cinco añosDos menciones indican que "luego de una investigación con varios expertos líderes en seguridad de datos, Marriott determinó inicialmente que los números de tarjetas de pago y ciertos números de pasaporte en las tablas de la base de datos involucradas en el incidente de seguridad de la base de datos de Starwood que Marriott informó el 30 de noviembre de 2018 estaban protegidos por el cifrado Advanced Encryption Standard 128 (AES-128). Marriott ahora ha determinado que los números de tarjetas de pago y ciertos números de pasaporte en estas tablas estaban protegidos por un método criptográfico diferente conocido como Secure Hash Algorithm 1 (SHA-1)".

Índice
  1. Una declaración falsa a las aseguradoras
  2. Los abogados de los demandantes afirman que los esfuerzos para detectar fraudes se ven obstaculizados

Una declaración falsa a las aseguradoras

Hasta el momento, la cadena hotelera no ha respondido a ninguna de las preguntas cruciales sobre esta admisión. ¿Qué llevó a la compañía a creer inicialmente que había utilizado AES-128, si es que lo hizo? Después de las investigaciones forenses realizadas por empresas externas como Accenture, Verizon y CrowdStrike, ¿cómo es posible que nadie se diera cuenta de que, de hecho, no había cifrado? Y si lo hicieron, ¿por qué la compañía siguió insistiendo con la afirmación de cifrado falso? Y lo más importante, ¿cuándo y cómo descubrió Marriott la verdad? Douglas Brush, fiscal adjunto designado en los tribunales federales de Estados Unidos y director visionario de Accel Consulting, que no está trabajando en el caso en cuestión, dijo que el cambio de actitud de Marriott podría tener graves implicaciones para la compañía. Más allá de Marriott, señala algunos de los riesgos asociados con hacer afirmaciones falsas en un caso de incumplimiento. "¿Marriott, mediante sus declaraciones falsas a sus aseguradores, intentó obtener cobertura antes y durante el evento para cubrir las pérdidas? Si Marriott hizo declaraciones falsas, esto constituiría un claro incumplimiento de su contrato con el operador. El operador podría presentar una demanda para recuperar la cobertura", dijo Brush.

“Además, según el principio de diligencia debida que se aplica a las fusiones y adquisiciones, ¿quién dice que existe un determinado estándar de cifrado para los datos? ¿El comprador, el vendedor, ambos? Esto ahora plantea problemas para la SEC porque la diligencia debida no tuvo en cuenta algo que ahora es a largo plazo y tiene un impacto material. “Además, si esto se detecta y se respalda, ¿afectará a los precios de las acciones en 2024 y dará lugar a una presentación del Formulario 8K para una divulgación transparente?” En marzo de 2019, la empresa informó de 28 millones de dólares en gastos relacionados con la filtración.

Los abogados de los demandantes afirman que los esfuerzos para detectar fraudes se ven obstaculizados

Los abogados de los consumidores que demandaron a Marriott argumentaron ante el juez Bailey que la última noticia era grave porque es bien sabido que SHA-1 no es un algoritmo de cifrado y que puede ser pirateado muy rápidamente. “De hecho, las tarjetas de pago ni siquiera tienen la capacidad de proteger la información con ese tipo de algoritmo”, dijo la abogada Amy Keller. Además, Marriott les dijo a sus clientes que no se preocuparan “porque no había encontrado evidencia generalizada de fraude”. El problema con esa declaración es que ignora el hecho de que cuando le dices a la gente que cierta información está cifrada, ocurren dos cosas.

El primero es que las marcas de tarjetas como Mastercard y VISA dejen de investigar el fraude generalizado. Por lo tanto, si la marca de la tarjeta ha determinado que no pudo haber ocurrido un fraude generalizado porque la información estaba encriptada, el tipo de información que estaba buscando ahora se ha perdido para siempre porque la filtración ocurrió hace cinco años”. En una presentación judicial, el abogado de los demandantes agregó que una declaración de la experta en responsabilidad Mary Frantz indicó que la protección SHA-1 de los datos de las tarjetas de pago es funcionalmente lo mismo que no tener encriptación, “porque cualquier pirata informático que use un portátil moderno podría haber expuesto los números de tarjetas de pago y de pasaporte extraídos de la base de datos de Marriott”.