La FTC dio plazo hasta junio de 2025 a las cadenas hoteleras para implementar un programa robusto de seguridad de información.
La Comisión Federal de Comercio (FTC) ha establecido un plazo para que Marriott International y Starwood Hotels implementen un programa integral de seguridad de la información. La orden, publicada el 20 de diciembre de 2024, establece como fecha límite para su cumplimiento el 17 de junio de 2025.
La medida responde a las graves fallas en la protección de datos de los clientes, que derivaron en múltiples incidentes de violación de seguridad.
Los antecedentes de estas acciones se remontan a violaciones masivas de datos ocurridas antes y después de que Marriott adquiriera la cadena de hoteles Starwood en 2016.
En 2014, los sistemas de pago de Starwood fueron vulnerados, comprometiendo datos de clientes, pero la divulgación se retrasó 14 meses.
Entre 2014 y 2018, otra violación de seguridad comprometió 339 millones de registros de huéspedes, incluida información como números de pasaportes no cifrados. Este incidente afectó exclusivamente a las propiedades de Starwood, cuya base de datos de reservas ya estaba comprometida cuando Marriott la adquirió.
El año 2018, un grupo cibercriminal accedió a los datos de 5,2 millones de huéspedes de Marriott, aunque esto solo se detectó en 2020. Estas demoras en la detección y divulgación dejaron a los clientes expuestos durante largos periodos. Como resultado de estos incidentes, en octubre de 2024 Marriott llegó a un acuerdo con la FTC, comprometiéndose a pagar $52 millones a 49 estados por las deficiencias en la protección de datos.
Ahora, y como consecuencia del acuerdo, Marriott deberá implementar un programa de seguridad de la información que debe incluir cifrado, autenticación multifactor, controles de acceso, gestión de vulnerabilidades y respuesta a incidentes. Asimismo, deberá mantener políticas que limiten la retención de información personal a lo estrictamente necesario (mínimo privilegio) y proporcionar un enlace en su sitio web para que los consumidores puedan solicitar la eliminación de sus datos.
Además de esas medidas, la FTC impone a Marriott la implementación de herramientas de monitoreo para detectar actividades sospechosas en un plazo de 24 horas y ofrecer a los usuarios mecanismos para revisar movimientos no autorizados en sus cuentas de fidelidad.
La orden de la FTC también obliga a realizar evaluaciones independientes del programa de seguridad cada dos años durante las próximas dos décadas e informar sobre cualquier brecha detectada. Este proceso podrá extenderse bajo condiciones específicas, asegurando un seguimiento continuo para proteger los datos confidenciales de los clientes y prevenir futuros incidentes.