Resumen

  • Verdad operativa heredada:El intruso entró en el entorno de Starwood a finales de julio de 2014, más de dos años antes de que Marriott completara la adquisición de Starwood el 23 de septiembre de 2016. Marriott no creó el compromiso inicial. Sin embargo, tras el cierre, controlaba una empresa cuyo sistema de reservas aún en funcionamiento y los registros globales de huéspedes debían ser gobernados como activos de Marriott, incluso mientras las redes heredada y de Marriott permanecían separadas.
  • Calendario y alcance:Se generó una alerta de monitoreo de base de datos el 7 de septiembre de 2018 y se elevó a Marriott el 8 de septiembre. Los investigadores encontraron un troyano de acceso remoto el 17 de septiembre, identificaron archivos de exportación cifrados eliminados el 13 de noviembre, descifraron dos archivos el 19 de noviembre, notificaron al regulador del Reino Unido el 22 de noviembre y lo divulgaron públicamente el 30 de noviembre. El límite superior inicial de Marriott de 500 millones de huéspedes se convirtió en un límite superior de 383 millones de registros, y los registros regulatorios posteriores utilizaron 339 millones a nivel mundial; ninguna de esas cifras es un recuento limpio de personas únicas.
  • Conclusiones sobre datos y control:Las combinaciones expuestas incluían datos de contacto, fechas de nacimiento, identificadores de pasaporte, datos de fidelización, información de reservas y estancias, y datos de tarjetas de pago. La Oficina del Comisionado de Información del Reino Unido (ICO) formuló cuatro conclusiones principales solo para el período del RGPD: monitoreo insuficiente de cuentas privilegiadas, monitoreo insuficiente de bases de datos, control inadecuado de sistemas críticos y falta de cifrado de todos los números de pasaporte. No realizó conclusiones definitivas en virtud de los artículos 33 o 34 del RGPD, y excluyó la cobertura incompleta de autenticación multifactor de la sanción tras considerar las alegaciones de Marriott.
  • Responsabilidad tras la ejecución:La ICO impuso una multa de 18,4 millones de libras en 2020. En 2024, los fiscales generales estatales alcanzaron un acuerdo de 52 millones de dólares y la Comisión Federal de Comercio (FTC) impuso una orden de 20 años que abarca la gobernanza de seguridad, la evaluación de entidades adquiridas, el monitoreo, el acceso, el endurecimiento, la criptografía, la retención de datos y la evaluación independiente. Marriott no admitió responsabilidad en el proceso de la ICO ni en el acuerdo multiestatal. Esos límites procesales importan, pero no diluyen la lección operativa: la adquisición cierra una transacción legal; no certifica la verdad del entorno adquirido.

El activo era una empresa, una base de datos y un historial de seguridad inconcluso

Marriott anunció su acuerdo para adquirir Starwood el 16 de noviembre de 2015. Cuatro días después, Starwood reveló un incidente distinto de tarjetas de pago que afectaba a los sistemas de punto de venta en un número limitado de hoteles norteamericanos. El informe anual de Starwood de 2015 decía que el malware había llegado a los sistemas de punto de venta de restaurantes, tiendas de regalos y otros; decía que en ese momento no había indicios de que los sistemas de reservas o de Starwood Preferred Guest estuvieran afectados. (Formulario 10-K de Starwood de 2015)

Esa divulgación no fue un aviso de la intrusión en la base de datos de reservas anunciada posteriormente por Marriott. Los dos eventos involucraban sistemas y cuentas públicas diferentes. Sin embargo, sí fue un aviso de que el entorno de Starwood tenía un historial de seguridad. La denuncia de 2024 de la Comisión Federal de Comercio (FTC) afirma que el compromiso del punto de venta duró aproximadamente 14 meses, involucró a más de 40.000 consumidores, y se asoció con una segmentación inadecuada, controles de acceso, software sin soporte y la falta de autenticación multifactor. La misma denuncia dice que Marriott revisó el programa de seguridad de la información de Starwood durante los diez meses entre el anuncio y el cierre, incluidas las fallas relacionadas con esa primera brecha. Estas declaraciones son alegaciones de la FTC en un asunto de consentimiento, no conclusiones de un juicio contradictorio. (Denuncia de la FTC)

El relato de Marriott añade una restricción importante. En el testimonio de 2019 ante un subcomité del Senado de EE. UU., el entonces director ejecutivo Arne Sorenson dijo que Marriott obtuvo información sobre la tecnología de Starwood y evaluó la integración durante el período previo al cierre, pero que la investigación estaba legal y prácticamente limitada porque las empresas seguían siendo competidoras. Marriott decidió conservar su propia plataforma de reservas y retirar la de Starwood. Trasladar 1.270 hoteles sin interrumpir las reservas llevó dos años, por lo que el sistema de Starwood continuó funcionando después del cierre mientras Marriott afirmaba que invirtió en seguridad adicional. (Testimonio de Sorenson ante el Senado)

Ambos hechos pueden ser ciertos. El acceso previo al cierre puede estar restringido, y el comprador aún puede heredar un problema de control activo. El error es tratar la diligencia como un certificado único en lugar de un cambio en la carga de la prueba. Antes del cierre, el comprador pregunta qué puede inspeccionar legalmente, qué representa el vendedor y qué protección contractual necesita. Después del cierre, el propietario puede revalidar las identidades privilegiadas, inspeccionar el registro, buscar persistencia, mapear las exportaciones de bases de datos, probar la segmentación, inventariar los métodos criptográficos y decidir si un sistema heredado puede seguir procesando datos personales. La autoridad cambia. También debe hacerlo la evidencia.

Marriott completó la adquisición el 23 de septiembre de 2016. Starwood se convirtió en una subsidiaria indirecta de propiedad total, y el grupo combinado describió casi 6.000 propiedades, más de 1,1 millones de habitaciones y 30 marcas en 120 países y territorios. (Formulario 8-K de adquisición de Marriott) La escala es relevante no como espectáculo sino como un mapa de dependencia. Una base de datos de reservas no era una aplicación de oficina periférica. Conectaba hoteles, centros de contacto, procesos de fidelización, servicio al huésped y registros de viajes a través de un sistema global de franquicias y gestión.

El registro público también establece un hecho de arquitectura limitado pero importante. La ICO determinó que los sistemas a los que accedió el atacante permanecían segregados de la red más amplia de Marriott. Dijo que el ataque no proporcionó acceso a los datos personales procesados únicamente en sistemas que no eran de Starwood. Por lo tanto, la separación limitó el radio de alcance. No hizo que el entorno adquirido fuera seguro. El lado de Starwood permaneció en producción, y la separación sin un monitoreo efectivo puede preservar a un intruso tan fácilmente como lo contiene.

Calendario: entrada, propiedad, detección y divulgación son fechas diferentes

La brecha a menudo se comprime en la frase "acceso no autorizado desde 2014". Esa frase pierde la secuencia necesaria para la rendición de cuentas. Al menos seis relojes importan: la intrusión inicial, la adquisición de Marriott, el inicio de la cobertura del RGPD, la alerta, la confirmación de que los datos de los huéspedes estaban involucrados y la divulgación pública.

De junio de 2014 a 2015: un evento separado de tarjetas de pago de Starwood.La denuncia posterior de la FTC describe una intrusión de 14 meses en la que un actor llegó a la red de Starwood e instaló malware para robar tarjetas de pago en más de 100 propiedades propias o gestionadas. Starwood reveló públicamente un incidente de punto de venta más limitado a nivel de propiedad en noviembre de 2015 y dijo que no se indicaba que sus sistemas de reservas de huéspedes y fidelización estuvieran afectados. Este evento anterior es relevante porque puso debilidades de red en el contexto de la adquisición. No debe fusionarse retroactivamente con la brecha de la base de datos de reservas como si todos los hechos o consumidores afectados fueran los mismos.

28-29 de julio de 2014: entrada en el entorno posteriormente vinculado a la brecha de reservas.La denuncia de la FTC sitúa el compromiso de un servidor web orientado al exterior el 28 de julio o alrededor de esa fecha. El aviso de sanción de la ICO dice que se instaló una shell web el 29 de julio en un dispositivo que admitía una aplicación utilizada por los empleados de Starwood para solicitar cambios en el contenido del sitio web. La shell permitió el acceso remoto y la instalación de troyanos de acceso remoto. La diferencia de un día refleja la precisión de dos reconstrucciones públicas, no necesariamente una contradicción fáctica. La conclusión segura es finales de julio de 2014.

El intruso recolectó credenciales privilegiadas y de usuario y se movió por el entorno de Starwood. La FTC alegó que keyloggers, malware de raspado de memoria y troyanos de acceso remoto aparecieron finalmente en más de 480 sistemas en 58 ubicaciones corporativas, de centros de datos, centros de contacto y hoteles. La ICO describió el uso de cuentas legítimas, la extracción de credenciales con Mimikatz y la exportación de tablas completas de la base de datos a archivos de volcado. Ninguno de los registros publica el informe forense subyacente, una lista completa de los hosts afectados o la vulnerabilidad precisa que primero hizo que el servidor público fuera explotable.

Noviembre de 2015: Marriott anuncia el acuerdo; Starwood revela la otra brecha.Este es el momento en que el riesgo cibernético heredado se hizo visible como un problema de transacción. No reveló al atacante oculto de reservas. Le dio al comprador razones para tratar las garantías técnicas, las afirmaciones de remediación, el cumplimiento de tarjetas de pago y la segmentación de red como propuestas que requerían verificación independiente después de la transferencia de control.

23 de septiembre de 2016: Marriott cierra la adquisición.El intruso de reservas ya estaba presente. Marriott dice que realizó mejoras de seguridad mientras continuaba operando el sistema de Starwood a la espera de la migración. La ICO registra que las dos redes permanecieron separadas durante el período relevante. La FTC alegó posteriormente que Marriott tenía la responsabilidad de establecer, revisar e implementar prácticas de seguridad para ambas empresas después del cierre.

25 de mayo de 2018: el RGPD se vuelve aplicable.Esta fecha define el alcance legal de la decisión de la ICO. El ataque comenzó años antes, pero el aviso de sanción abordó el procesamiento de Marriott desde el 25 de mayo hasta el 17 de septiembre de 2018. La ICO dijo expresamente que no estaba realizando una conclusión de infracción para el período entre la adquisición y la aplicabilidad del RGPD y no decidió si una diligencia más profunda hubiera sido posible durante la adquisición. Ese límite es esencial. La ICO utilizó el sistema heredado para evaluar las obligaciones continuas de controlador de Marriott después de que el RGPD entró en vigor, no para inventar una responsabilidad retroactiva del RGPD por conductas de 2014 o 2016. (Aviso de sanción de la ICO)

7-8 de septiembre de 2018: una consulta de recuento genera una alerta.El 7 de septiembre, una cuenta de administrador consultó el número de filas de una tabla protegida de perfiles de huéspedes. IBM Guardium generó una alerta. Accenture, que gestionaba la base de datos de reservas de huéspedes de Starwood, contactó al equipo de TI de Marriott el 8 de septiembre. Marriott se enteró de que la persona cuyas credenciales se utilizaron no había realizado la consulta. La alerta se refería a una tabla monitoreada porque incluía datos de tarjetas; la ICO dijo que otras tablas sin datos de tarjetas de pago carecían de alertas equivalentes.

Esto fue la detección de una acción anómala, no el conocimiento inmediato de toda la brecha. La consulta devolvió un recuento, no el contenido de las filas. Ese mismo día se convirtió más tarde en objeto de controversia en el análisis de la ICO sobre cuándo Marriott tuvo conocimiento de una brecha de datos personales a efectos de notificación del artículo 33. Después de considerar las alegaciones de Marriott, la ICO no llegó a una conclusión definitiva de infracción del artículo 33.

9-12 de septiembre: respuesta al incidente y actividad continua del atacante.Marriott activó su plan de respuesta a incidentes de seguridad de la información y privacidad alrededor del 9 o 10 de septiembre y contrató a investigadores externos el 10 de septiembre. La ICO dice que otra tabla relacionada con pasaportes se exportó a un archivo de volcado ese día. El 12 de septiembre, Marriott comenzó a implementar monitoreo en tiempo real y herramientas forenses en aproximadamente 70.000 dispositivos heredados de Starwood. El hecho de que se produjera una exportación de datos después de la primera alerta es importante; muestra por qué la generación de alertas, la escalada a analistas, la contención y la erradicación deben medirse por separado.

15-18 de septiembre: credenciales, malware y escalada de gobernanza.Los investigadores identificaron actividad no autorizada con credenciales de empleados de Accenture desde julio. Encontraron un troyano de acceso remoto el 17 de septiembre y bloquearon las direcciones de comando y control. Sorenson testificó que fue informado ese día y que la junta fue notificada el 18 de septiembre. La ICO seleccionó el 17 de septiembre como el final del período de infracción para su análisis de la sanción porque fue cuando se identificó y contuvo el RAT, no porque se hubieran resuelto todas las cuestiones forenses.

Octubre de 2018: la intrusión histórica se vuelve visible.Los investigadores identificaron evidencia de Mimikatz y malware de raspado de memoria y rastrearon la presencia no autorizada hasta julio de 2014. Marriott contactó al FBI el 29 de octubre. En esta etapa, según el testimonio de la empresa ante el Senado, los investigadores tenían evidencia de una intrusión prolongada pero aún no habían encontrado evidencia de que se hubiera accedido a los datos de los huéspedes en la base de datos de reservas.

13-19 de noviembre: los archivos eliminados se convierten en evidencia de la exportación de datos de huéspedes.El 13 de noviembre, los investigadores encontraron rastros de dos archivos comprimidos, cifrados y eliminados. Los descifraron el 19 de noviembre y encontraron exportaciones de tablas de perfiles de huéspedes y relacionadas con pasaportes. Esa fue la fecha en la que Marriott dice que determinó que los archivos contenían información personal de la base de datos de reservas de huéspedes de Starwood. La distinción entre la anomalía de septiembre y la confirmación de noviembre explica el retraso de la investigación sin probar por sí misma que cada decisión de notificación fuera oportuna.

22-30 de noviembre: aviso regulatorio y divulgación pública.Marriott notificó a la ICO el 22 de noviembre. Encontró evidencia de copias adicionales de tablas históricas el 25 y 26 de noviembre, notificó a las redes de tarjetas de pago y a diversas autoridades, y anunció el incidente públicamente el 30 de noviembre. Su aviso inicial decía que la base de datos estaba en Estados Unidos y contenía registros relacionados con reservas en propiedades de Starwood el 10 de septiembre de 2018 o antes. (Aviso de incidente de Marriott de noviembre de 2018)

18-31 de diciembre de 2018: retirada.Sorenson dijo que Marriott dejó de usar la base de datos de reservas de huéspedes de Starwood para operaciones comerciales el 18 de diciembre. La actualización de enero de Marriott describió la eliminación progresiva como efectiva a fin de año. La retirada puso fin a su papel en las reservas en vivo, pero una retirada segura también requiere la disposición de copias, credenciales, claves, imágenes forenses, copias de seguridad y retenciones legales. El registro público no proporciona un libro de destrucción completo.

2019-2020: cambios en el alcance y una sanción final del Reino Unido.Marriott revisó sus recuentos en enero y en su informe anual. La ICO emitió un aviso de intención en julio de 2019 proponiendo 99.200.396 libras. Después de las alegaciones escritas de Marriott, la consulta con otras autoridades europeas, el análisis de mitigación y un ajuste por COVID-19, la sanción final fue de 18,4 millones de libras el 30 de octubre de 2020. Marriott dijo que no apelaría pero no admitió responsabilidad. (Respuesta de Marriott a la decisión final de la ICO)

Abril de 2024: cambia una descripción criptográfica de hace cinco años.Marriott añadió una actualización a sus avisos de 2018 y 2019: los números de tarjetas de pago y algunos números de pasaporte que había descrito como protegidos con cifrado AES-128 estaban en cambio protegidos con SHA-1. Esa corrección no cambia el hecho del acceso no autorizado. Cambia la forma en que los lectores deben interpretar las antiguas declaraciones sobre cifrado y claves.

Octubre-diciembre de 2024: las resoluciones paralelas de EE. UU. se vuelven ejecutables.Una coalición de 50 fiscales generales anunció un acuerdo de 52 millones de dólares que cubre 131,5 millones de registros de huéspedes asociados a EE. UU. y salvaguardias a largo plazo. La FTC anunció un acuerdo de consentimiento paralelo en octubre y finalizó su decisión y orden el 20 de diciembre. El asunto de la FTC abordó tres brechas desde 2014 hasta 2020, por lo que no todas las alegaciones o remedios en ese procedimiento pertenecen exclusivamente al incidente de reservas de Starwood.

2025-2026: los litigios privados siguen siendo una vía separada.En junio de 2025, el Cuarto Circuito hizo cumplir una renuncia a la acción colectiva y revocó la certificación de las clases contra Marriott; no decidió las reclamaciones subyacentes de la brecha después de un juicio. (Opinión del Cuarto Circuito) El formulario 10-K de Marriott presentado el 10 de febrero de 2026 dice que algunos demandantes presentaron acciones individuales en Nueva York, las discusiones de mediación continuaron en el litigio multidistrito federal, los asuntos canadienses se consolidaron efectivamente en Ontario, y Marriott disputó las alegaciones. (Formulario 10-K de Marriott de 2025)

Los números son registros, personas, regiones y poblaciones procesales

Ningún número de brecha único puede servir de forma segura para todos los propósitos. Las estimaciones de Marriott cambiaron a medida que los investigadores deduplicaban y clasificaban las tablas. Los reguladores y los tribunales utilizaron posteriormente diferentes poblaciones vinculadas a su jurisdicción o procedimiento.

Fecha y fuentePoblaciónQué significa el númeroQué no significa
Aviso de Marriott del 30 de noviembre de 2018Hasta aproximadamente 500 millones de huéspedes; cerca de 327 millones con una combinación más amplia de camposTecho público preliminar antes de completar el análisis de duplicadosUn recuento verificado de individuos únicos o personas que todos perdieron los mismos campos
Actualización de Marriott del 4 de enero de 2019Aproximadamente 383 millones de registros como límite superior; menos huéspedes únicosEstimación revisada de la empresa tras cierta deduplicación383 millones de personas distintas
Aviso de sanción de la ICO de 2020339 millones de registros de huéspedes a nivel mundial; 30,1 millones asociados con estados del EEE; 7 millones asociados con el Reino UnidoPoblación utilizada en el registro final de ejecución del RGPDUn recuento que se puede sumar al techo de 383 millones; los registros regionales son subconjuntos
Acuerdo multiestatal de 2024131,5 millones de registros pertenecientes a clientes de EE. UU.Población asociada a EE. UU. utilizada por los estadosEl total global o un recuento de reclamantes individuales que recibieron compensación
Opinión del Cuarto Circuito de 2025Aproximadamente 133,7 millones de registros de huéspedes en la cuenta del litigioPoblación utilizada para describir el caso del consumidorUna sentencia sobre el fondo de que cada registro produjo un daño indemnizable

La diferencia entre un registro y una persona no es una cuestión de limpieza editorial. Un huésped puede tener múltiples estancias, direcciones, acompañantes, entradas de fidelización o perfiles duplicados. Diferentes tablas pueden identificar a la misma persona de maneras inconsistentes. Marriott dijo al Senado que no podía decidir con confianza si los nombres y direcciones coincidentes o similares pertenecían a una persona o a varias. Un inventario de datos defendible debería resolver suficiente parte de ese problema de identidad antes de un incidente, no descubrir durante la notificación que no puede indicar cuántas personas tiene.

Las categorías también variaban. El primer aviso de Marriott decía que aproximadamente 327 millones de registros contenían alguna combinación de nombre, dirección postal, número de teléfono, dirección de correo electrónico, número de pasaporte, información de Starwood Preferred Guest, fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva y preferencias de comunicación. Algunos incluían el número de tarjeta de pago y la fecha de vencimiento. El resto se describían como nombre más, en algunos casos, otro campo como dirección o correo electrónico. "Alguna combinación" es una advertencia contra el tratamiento de cada campo listado como presente para cada huésped.

El relato a nivel de tabla de la ICO añade detalles operativos. Una tabla de compartición de reservas incluía identificadores de huéspedes y fidelización, indicadores VIP, país y número de pasaporte, información de llegada y salida, datos de contacto, número de vuelo, código de aerolínea, estado de check-in y el número de huéspedes en una habitación. Otra tabla incluía el tipo de habitación, recuento de huéspedes adultos y niños, y cunas o camas supletorias solicitadas. Estos campos pueden revelar el contexto del hogar y del viaje incluso sin una credencial financiera.

Los recuentos de pasaportes y tarjetas de pago también cambiaron. La actualización de Marriott del 4 de enero de 2019 enumeraba alrededor de 5,25 millones de números de pasaporte sin cifrar y 20,3 millones de números de pasaporte descritos entonces como cifrados. Enumeraba alrededor de 8,6 millones de tarjetas de pago descritas entonces como cifradas, de las cuales 354.000 no habían caducado en septiembre de 2018, y menos de 2.000 valores de 15 o 16 dígitos en otros campos que podrían ser números de tarjeta sin cifrar. (Actualización de Marriott de enero de 2019)

Según el formulario 10-K de 2018 y el testimonio de marzo de 2019, la empresa utilizó aproximadamente 18,5 millones de números de pasaporte protegidos, 9,1 millones de tarjetas de pago protegidas y 385.000 tarjetas no caducadas a septiembre de 2018. Dijo que los datos podían incluir varios miles de números de tarjetas de pago sin cifrar. El informe anual también registró 28 millones de dólares de gastos por incidentes en 2018, compensados en parte por 25 millones en recuperaciones de seguros acumuladas; esos asientos contables miden los costos de respuesta, no el daño a los huéspedes. (Formulario 10-K de Marriott de 2018)

La presentación correcta es, por lo tanto, un conjunto de estimaciones acotadas, no una competencia para elegir el número más grande o más reciente. También es importante preservar la incertidumbre en ambas direcciones. Los registros duplicados hacen que el recuento de personas únicas sea inferior a los totales de registros. Los archivos desconocidos o no recuperados, la telemetría histórica incompleta y los campos de texto libre pueden dificultar la reconstrucción precisa a nivel de campo.

Lo que la ICO encontró, y lo que deliberadamente no encontró

El aviso de sanción de la ICO es el registro adjudicativo público más sólido sobre las fallas de seguridad en el entorno de reservas de Starwood. También es más limitado de lo que muchos resúmenes implican.

En primer lugar, la ICO concluyó que Marriott, como controlador, infringió el artículo 5(1)(f) y el artículo 32 del RGPD al no procesar los datos personales con la seguridad adecuada. La decisión abarcó del 25 de mayo al 17 de septiembre de 2018. Eltexto oficial del RGPDhace que la seguridad se base en el riesgo: las medidas apropiadas dependen del estado de la técnica, el costo de implementación, el contexto del procesamiento y el riesgo para los derechos y libertades de las personas. La obligación no es una garantía de que ningún atacante tenga éxito. Es una obligación de implementar y probar medidas apropiadas para los datos y sistemas reales.

En segundo lugar, el aviso final identificó cuatro fallas principales.

Monitoreo insuficiente de cuentas privilegiadas.El atacante utilizó credenciales legítimas para actividades no autorizadas. La ICO determinó que Marriott carecía de un monitoreo continuo adecuado de la actividad de los usuarios, especialmente de las cuentas privilegiadas, dentro del entorno de datos de titulares de tarjetas. Marriott tenía un centro de operaciones de seguridad, pruebas de penetración anuales e informes de cumplimiento de tarjetas de pago. El regulador concluyó que esos controles no evaluaban las configuraciones de registro relevantes y no reemplazaban la necesidad de detectar un uso anormal después de la autenticación.

Monitoreo insuficiente de bases de datos.Guardium registraba y alertaba sobre la actividad seleccionada, pero la ICO encontró alertas de base de datos incompletas, agregación de registros insuficiente y falta de registro de acciones como la creación de archivos y la exportación de tablas completas. La alerta que finalmente importó se aplicó a una tabla que contenía datos de tarjetas. Otras tablas de datos personales carecían de alertas equivalentes. La sensibilidad de las tarjetas de pago puede justificar controles más fuertes, pero el regulador dijo que no justificaba la ausencia de alertas sobre otros datos personales.

Control inadecuado de sistemas críticos.La ICO determinó que un endurecimiento adecuado del servidor, como el control de ejecución o listas blancas equivalentes en sistemas críticos, podría haber limitado el reconocimiento, la escalada de privilegios y la ejecución de malware. La decisión no prescribió listas blancas en todas partes. Se centró en dispositivos y sistemas críticos capaces de alcanzar grandes almacenes de datos personales o sensibles.

Falta de cifrado de todos los números de pasaporte.Aproximadamente 5,25 millones de números de pasaporte estaban sin cifrar. La ICO no encontró ninguna evaluación de riesgos documentada que explicara por qué algunos números de pasaporte recibían protección criptográfica y otros no. Su argumento más amplio no era que todos los campos deban cifrarse siempre. Era que la protección selectiva necesita una justificación basada en evidencia y una implementación significativa.

La corrección SHA-1 de 2024 complica el lenguaje técnico de la última conclusión. El aviso de sanción discutía AES-128 basándose en el registro que tenía entonces. Marriott dijo posteriormente que los números de tarjetas de pago y algunos números de pasaporte en las tablas estaban en cambio protegidos con SHA-1. Esa declaración posterior debería reemplazar la antigua descripción del algoritmo para esos subconjuntos; no borra la conclusión de la ICO de que millones de números de pasaporte quedaron sin cifrar ni su conclusión de que Marriott no había demostrado una evaluación de riesgos consistente.

Las exclusiones son igualmente importantes.

La ICOnosancionó a Marriott por la cobertura incompleta de autenticación multifactor. Marriott se había basado en garantías de gestión e informes de cumplimiento de tarjetas de pago de 2016 y 2017 que indicaban que MFA protegía el acceso al entorno segmentado de titulares de tarjetas. La implementación era de hecho incompleta, pero después de considerar las alegaciones de Marriott, la ICO aceptó esa confianza para el propósito específico que tenía ante sí y eliminó MFA de las conclusiones finales de la sanción. Un relato cuidadoso aún puede discutir la brecha operativa; no puede llamar a esa brecha una de las cuatro infracciones finales de la ICO.

La ICOnollegó a una conclusión definitiva sobre la notificación de brechas del artículo 33. Rechazó parte del razonamiento legal de Marriott sobre el conocimiento, pero consideró la alerta limitada de septiembre, el desconocimiento de Marriott de la exportación de la tabla hasta el 13 de noviembre y el descifrado el 19 de noviembre, y luego abandonó la conclusión propuesta. Tampoco llegó aninguna conclusión definitiva sobre el artículo 34en relación con la comunicación a las personas afectadas. El regulador criticó un correo electrónico que hacía referencia a un centro de llamadas sin incluir el número de teléfono, pero aceptó que el correo electrónico enlazaba con el sitio dedicado donde el número estaba disponible.

La ICOnodecidió que la diligencia debida previa al cierre de Marriott fuera legalmente insuficiente. Reconoció que la diligencia en profundidad de un competidor puede estar limitada y excluyó la conducta anterior al RGPD de la decisión. Sí concluyó que la diligencia debida no es un evento único y que Marriott no podía continuar procesando bajo el RGPD en sistemas heredados deficientes simplemente porque las debilidades fueran anteriores a la ley o a la adquisición.

Por último, la cifra de 18,4 millones de libras no debe confundirse con la propuesta de 2019. El aviso final consideró las alegaciones de Marriott, la rápida respuesta posterior a la alerta, la cooperación, la ausencia de evidencia de daño financiero observada por la ICO, otros factores atenuantes y el impacto del COVID-19. Marriott no apeló. Su declaración de no admisión coexiste con una decisión final del regulador que expresamente encontró infracciones. "No admisión" describe la posición procesal de Marriott; no convierte las conclusiones de la ICO en alegaciones.

La corrección de 2024 convierte la gestión de claves en un problema de inventario

El aviso original de Marriott decía que los valores de las tarjetas de pago estaban cifrados con AES-128 y requerían dos componentes para descifrar; en ese momento, la empresa no podía descartar que ambos hubieran sido tomados. La actualización de enero de 2019 decía que no había evidencia de que el atacante hubiera accedido a la clave maestra necesaria para los números de pasaporte protegidos o a cualquiera de los componentes necesarios para los números de tarjeta protegidos. En el testimonio de marzo, Sorenson dijo que Marriott no había encontrado evidencia de acceso a la clave maestra, pero no podía descartarlo.

Esas declaraciones enmarcaban el riesgo como texto cifrado más un posible compromiso de la clave. La actualización de abril de 2024 de Marriott cambió el marco: los números de tarjetas de pago y algunos números de pasaporte en las tablas afectadas estaban protegidos con SHA-1 en lugar de AES-128. SHA-1 es una función hash, no un esquema de cifrado. El NIST describe un hash como el mapeo de datos a un resumen de tamaño fijo y ha estado alejándose de SHA-1 para la protección criptográfica. (Descripción general de las funciones hash del NIST,Aviso de transición de SHA-1 del NIST)

Esa distinción importa. El cifrado está diseñado para ser reversible con un secreto o proceso autorizado. El hashing se utiliza normalmente para producir un resumen y no se "descifra" con la clave maestra descrita en los avisos anteriores. Pero la corrección pública no revela si los valores fueron salados, clavados, truncados, tokenizados en otra capa, emparejados con tablas de búsqueda o transformados de otra manera. Tampoco identifica los subconjuntos exactos de pasaportes y tarjetas a los que se aplicó SHA-1 ni dice si alguien recuperó los identificadores subyacentes de esos valores. Sería irresponsable inventar esos detalles.

La conclusión de responsabilidad es más limitada y sigue siendo significativa: cinco años después de la divulgación, la descripción pública de un mecanismo de protección central cambió de categorías. Eso sugiere una falla en el inventario criptográfico, en la traducción de la evidencia o en ambos. Una organización debería saber, por campo y copia, si los datos están en texto plano, cifrados, tokenizados o hasheados; qué algoritmo y modo se aplican; dónde residen las claves o secretos; quién puede invocarlos; qué estado de migración existe; y cómo se probaron esos hechos.

Esto es especialmente importante durante una adquisición. Un documento de política que dice "los campos sensibles están cifrados" no es un inventario a nivel de campo. Un informe de cumplimiento de tarjetas de pago no es una prueba de que cada campo de pasaporte en cada tabla heredada reciba el mismo tratamiento. El nombre de un algoritmo en un aviso de incidente no es fiable hasta que los investigadores rastrean el código de la aplicación, la configuración del esquema, los servicios de claves, los valores almacenados y las versiones históricas.

Una buena gestión de claves tampoco puede compensar el uso no controlado por parte de una aplicación autorizada. Si un atacante controla una cuenta privilegiada o un proceso de base de datos que puede solicitar texto plano, el cifrado en reposo puede ofrecer poca protección durante las consultas en vivo o la exportación. La ICO señaló esto indirectamente: MFA en el perímetro exterior no eliminaba la necesidad de registro interno, y el cifrado dependía de una arquitectura y gestión de claves significativas. Los controles deben estar en capas alrededor del uso, no simplemente adjuntos al almacenamiento.

Los datos en Estados Unidos seguían regidos por personas y leyes en otros lugares

El primer aviso de Marriott decía que la base de datos de reservas de huéspedes de Starwood estaba en Estados Unidos. Los registros eran globales. La ICO contó 30,1 millones de registros asociados con estados del EEE y 7 millones asociados con el Reino Unido. Los estados utilizaron posteriormente 131,5 millones de registros asociados a EE. UU. La ubicación física de la base de datos respondía, por tanto, a una pregunta: dónde funcionaba un sistema en particular. No respondía quiénes eran las personas, qué establecimientos procesaban sus datos, qué autoridades tenían jurisdicción, o qué hotel, franquiciado, proveedor de servicios y equipo corporativo podía acceder a ellos.

La soberanía y localidad de los datos deben separarse en al menos cuatro capas.

Localidad de almacenamientoes donde residen las bases de datos primarias, réplicas, copias de seguridad, archivos de exportación, registros y copias forenses. El registro público identifica la base de datos de reservas como basada en EE. UU., pero no proporciona un mapa completo de cada copia o copia de seguridad.

Localidad de accesoes donde los usuarios, servicios y administradores pueden ejercer autoridad sobre los datos. Accenture gestionaba la base de datos; las operaciones de Starwood y Marriott abarcaban muchos países; los procesos de hoteles y centros de contacto alimentaban el sistema de reservas. Una base de datos puede permanecer en hardware de EE. UU. mientras el acceso privilegiado y las decisiones operativas cruzan fronteras.

Localidad legalsigue a las personas, los establecimientos, el procesamiento y la ley aplicable, no solo a los racks. La ICO actuó como autoridad de control principal para el procesamiento transfronterizo bajo el mecanismo de cooperación del RGPD. Los estados de EE. UU. hicieron valer sus propias leyes de protección al consumidor e información personal. Por lo tanto, una base de datos central puede acumular un perímetro legal distribuido.

Localidad comerciales donde el registro tiene significado. Las fechas de llegada, los acompañantes, el estado VIP, la aerolínea y la ubicación del hotel están ligados al movimiento y las relaciones de un viajero. Centralizarlos puede apoyar el servicio global, pero también crea una descripción concentrada de la actividad a través de las jurisdicciones.

La declaración de privacidad global actual de Marriott dice que la transferencia internacional es esencial para su servicio global, que los datos pueden trasladarse a países con diferentes estándares de protección y que se utilizan mecanismos de transferencia aprobados cuando corresponde. También establece criterios de retención basados en el propósito y la ley. (Declaración de privacidad global del Grupo Marriott) Esa es una evidencia útil del modelo de gobernanza actual, no una prueba de la arquitectura de Starwood de 2014-2018 o del cumplimiento histórico.

La lección no es que los datos de reservas globales deban permanecer siempre en el país del viajero. La evidencia respalda una regla más práctica: un controlador global necesita un mapa a nivel de registro que conecte el propósito, la persona, la fuente, el almacenamiento, el acceso, el mecanismo de transferencia, la retención, los controles de seguridad y la entidad legal responsable. Sin ese mapa, "la base de datos está en Estados Unidos" se convierte en un hecho de ubicación presentado como si fuera una respuesta de gobernanza.

El registro expuesto redujo el costo del contacto convincente

Las tarjetas de pago y los pasaportes atraen la atención inmediata porque son instrumentos de identidad y financieros familiares. Las tablas de Starwood también contenían una fuente de daño más silenciosa: los ingredientes para un contacto creíble.

Un mensaje de phishing ordinario paga un impuesto de credibilidad. El remitente debe persuadir al destinatario de que el mensaje se refiere a una relación, evento o transacción real. Un conjunto de datos de reservas puede reducir ese costo. Un mensaje puede nombrar una marca de hotel, una estancia aproximada, la relación de fidelización, la ventana de llegada, el destino, el contexto de los acompañantes, la preferencia de comunicación o el vuelo. Los detalles de contacto proporcionan la ruta; los detalles del viaje proporcionan el pretexto; los campos de estado y preferencia ayudan a seleccionar el tono.

Esto es economía del contacto abusivo. El registro no necesita permitir que un atacante abra directamente una cuenta bancaria para ser útil. Puede hacer que la siguiente solicitud sea más barata de personalizar y más difícil de descartar para el destinatario. La CISA define el spearphishing como apuntar a un individuo con información clave sobre esa persona. (Guía de phishing de CISA) La alerta al consumidor de la FTC sobre Marriott advirtió que los estafadores podrían explotar el propio anuncio de la brecha haciéndose pasar por Marriott y dirigiendo a los destinatarios a sitios falsos. (Consejo de la FTC sobre la brecha de Marriott)

La base de datos combinaba varias vías de abuso:

  • Un nombre, un correo electrónico y un número de teléfono reducen el costo de descubrimiento y permiten el cambio de canal del correo electrónico al texto o la voz.
  • Los detalles de reserva y estancia proporcionan una historia plausible de problema de servicio, reembolso, factura, ajuste de fidelización o advertencia de seguridad.
  • Los datos de llegada, salida, aerolínea y ubicación pueden hacer que la urgencia parezca contemporánea.
  • Los identificadores de fidelización crean una segunda clase de activos: puntos, acceso a la cuenta y una relación duradera con el cliente.
  • Los números de pasaporte y las fechas de nacimiento pueden fortalecer los intentos de suplantación o proporcionar fragmentos de verificación, aunque un número de pasaporte por sí solo no es un pasaporte físico.
  • El estado VIP, el empleador o el contexto de preferencias pueden ayudar a priorizar objetivos o adaptar un contacto de estilo ejecutivo.
  • Los recuentos de acompañantes y niños pueden exponer un contexto relacional que la persona afectada no esperaba que se utilizara fuera de las operaciones de hospitalidad.

Estos son mecanismos de abuso plausibles respaldados por los campos y la orientación general sobre fraude. No son una prueba de que una campaña con nombre utilizara los registros de Starwood. En marzo de 2019, Sorenson testificó que Marriott no había recibido reclamaciones fundamentadas de pérdidas por fraude atribuibles al incidente y no había encontrado las tablas afectadas a la venta en su monitoreo. La ICO dijo más tarde que no había visto evidencia de daño financiero. La denuncia de la FTC, por el contrario, alegó que los registros detallados causaron o era probable que causaran un daño sustancial, incluyendo phishing, uso indebido de identidad y la carga de monitorear y reemplazar credenciales. La diferencia es en parte de postura legal y en parte de tiempo: la ausencia de uso indebido observado no es prueba de que no hubo exposición, pero el daño probable no es prueba de un fraude consumado.

La economía del contacto también afecta a la notificación. Marriott necesitaba enviar correos electrónicos a los huéspedes afectados, pero la mera existencia de una campaña de notificación ampliamente publicitada creaba un pretexto para los impostores. Los avisos reales de la empresa tenían que ser distinguibles, multilingües y accesibles a través de canales verificables de forma independiente. La discusión de la ICO sobre el número de teléfono del centro de llamadas omitido muestra que la calidad de la notificación es un control de seguridad, no un accesorio de relaciones públicas.

El remedio a más largo plazo es la minimización de datos. Si un campo ya no es necesario para el servicio, la ley, la prevención del fraude o un propósito operativo definido, conservarlo preserva un subsidio para el atacante. La orden final de la FTC exige una política de retención vinculada al propósito de la recopilación y a la necesidad comercial específica, una vía de eliminación para los consumidores estadounidenses y límites al uso de información eliminada con fines de marketing. La orden convierte la superficie de abuso reducida en una obligación de gobernanza.

Tres registros de ejecución, tres tipos diferentes de rendición de cuentas

La sanción de la ICO, el acuerdo estatal y la orden de la FTC no deben mezclarse en una multa indiferenciada.

Lasanción de la ICOes una decisión administrativa final que declara infracciones del RGPD para un período definido de 2018. Impuso 18,4 millones de libras. Marriott no apeló pero dijo que no admitía responsabilidad. La conclusión, el cálculo de la sanción y las exclusiones están contenidos en un aviso de 91 páginas.

Elacuerdo multiestatalresolvió las alegaciones estatales y exigió un pago de 52 millones de dólares. El anuncio de Connecticut dice que la coalición alegó violaciones de las leyes de protección al consumidor, información personal y, cuando corresponda, notificación de brechas. Exige un programa integral de seguridad de la información, principios de confianza cero, inventario de activos, endurecimiento, cifrado, segmentación, parcheo, monitoreo, supervisión de proveedores y franquiciados, eliminación de consumidores y protecciones de fidelización, evaluación de entidades adquiridas y revisiones independientes bienales durante 20 años. (Anuncio del acuerdo del fiscal general de Connecticut) Las sentencias dictadas establecen que Marriott no admite una violación o responsabilidad; el pago del acuerdo no es un veredicto judicial para cada persona afectada. (Sentencia final de Vermont)

Elasunto de la FTCes un procedimiento administrativo de consentimiento. La denuncia alega representaciones de seguridad engañosas y prácticas de seguridad desleales en la brecha anterior del punto de venta de Starwood, la brecha de reservas de Starwood y un incidente posterior de credenciales de Marriott revelado en 2020. Las alegaciones de la denuncia deben identificarse como alegaciones. La decisión y orden final es vinculante independientemente de si todas las alegaciones se probaron en los tribunales.

Laorden final de la FTCexige un programa de seguridad escrito, evaluaciones de riesgos anuales y posteriores a incidentes, informes a la junta, revisión activa de registros en un plazo de 24 horas, controles sobre el uso indebido de credenciales válidas, privilegio mínimo, autenticación multifactor, endurecimiento de la configuración, inventario de activos y datos personales, decisiones de cifrado o protección equivalente, gestión de parches, segmentación y pruebas de penetración, controles de proveedores, supervisión de franquiciados, informes de incidentes, certificación del CEO y evaluaciones independientes cada dos años durante 20 años.

Una disposición hace explícita la lección de la adquisición. Después de que Marriott cierre una adquisición de una entidad que procesa información personal, debe evaluar si el programa de la entidad adquirida cumple con la orden, crear un plan y un cronograma para las brechas, y abordar las deficiencias en los activos de TI adquiridos antes de usarlos como activos de producción de Marriott. Esto no requiere omnisciencia antes del cierre. Requiere una admisión controlada a la producción después del cierre.

La orden también ofrece a los consumidores estadounidenses una vía de solicitud de eliminación vinculada a la dirección de correo electrónico o al número de cuenta de fidelización y exige a Marriott que revise la actividad de fidelización no autorizada sospechosa y restablezca los puntos cuando determine que la actividad no autorizada de terceros causó una reducción, sujeto a los términos de la orden. Laexplicación al consumidor de la FTChace que esos remedios sean más fáciles de ver que el documento legal.

La ejecución no prueba la efectividad del control actual. Una orden especifica deberes; un evaluador prueba la implementación; una certificación asigna responsabilidad. Los lectores públicos aún no tienen los informes de evaluación independientes, los registros detallados de excepciones o el inventario criptográfico a nivel de campo. El informe anual de 2025 de Marriott dice que las resoluciones crean requisitos a largo plazo y que el incumplimiento podría dar lugar a una mayor ejecución. También describe un Comité de Supervisión de Tecnología y Seguridad de la Información de la junta y procesos continuos de riesgo cibernético. Se trata de estructuras de gobernanza y representaciones de la empresa, no de una opinión de aseguramiento público.

Los litigios privados añaden otra vía de rendición de cuentas, pero no un veredicto limpio de responsabilidad. La decisión del Cuarto Circuito de 2025 se basó en la exigibilidad de una renuncia a la acción colectiva en los términos de fidelización. La descertificación cambia la forma en que se pueden agregar las reclamaciones; no decide si la seguridad era razonable, si una persona en particular sufrió pérdidas o si todas las reclamaciones individuales fracasan. El último informe anual de Marriott dice que disputa las alegaciones y que los procedimientos continuaban a finales de 2025.

Un cuadro de mando de control posterior a la adquisición

La pregunta útil de la junta no es "¿Se llevó a cabo la diligencia?" Es "¿Qué afirmaciones heredadas se han convertido de forma independiente en evidencia operativa?"

Pregunta de controlEvidencia pública en el registro Marriott-StarwoodEvidencia que un propietario responsable debería poder producir
¿Qué incidentes y debilidades son anteriores al cierre?Starwood reveló una brecha separada del punto de venta cuatro días después del anuncio del acuerdo; la FTC alegó posteriormente que Marriott revisó sus causas.Linaje de incidentes firmado, elementos de remediación abiertos, alcance forense, hechos controvertidos y plan de validación posterior al cierre.
¿Qué identidades sobreviven a la transacción?El atacante de reservas utilizó credenciales privilegiadas y de usuario; las credenciales de Accenture aparecieron en actividades posteriores.Inventario completo de cuentas privilegiadas, de servicio, de proveedores y inactivas; evidencia de reemisión o rotación; propietario y vencimiento para cada excepción.
¿Puede el entorno adquirido detectar el comportamiento después de un inicio de sesión válido?La ICO encontró un monitoreo insuficiente de usuarios privilegiados y bases de datos a pesar de contar con un SOC, SIEM y evaluaciones de cumplimiento.Cobertura de fuentes de registro, líneas base de actividad, alertas de exportación, casos de uso probados, retención y respuesta medida de los analistas.
¿Puede un proceso exportar una tabla sensible completa?Las exportaciones de archivos de volcado fueron fundamentales en el incidente; solo las tablas seleccionadas generaron alertas de Guardium.Política de monitoreo de actividad de la base de datos, umbrales de exportación masiva, doble autorización, controles de salida y ejercicios que demuestren que las alertas llegan a los respondedores.
¿Están endurecidos los sistemas críticos contra el malware y el reconocimiento?La ICO consideró que el control de los sistemas críticos era inadecuado e identificó las listas blancas o un endurecimiento equivalente como apropiado.Líneas base de configuración, cobertura de aplicación, antigüedad de las excepciones, detección de desviaciones y pruebas de intento de elusión.
¿Qué significa "cifrado" para cada campo?Millones de números de pasaporte estaban en texto plano; en 2024, Marriott corrigió las descripciones de AES-128 a SHA-1 para tarjetas y algunos pasaportes.Clasificación a nivel de esquema, método y versión, arquitectura de sal o clave cuando corresponda, propietario criptográfico, evidencia de rotación y migración.
¿Reduce realmente la separación el riesgo?Los sistemas heredados de Starwood permanecieron separados de la red más amplia de Marriott, lo que limitó el acceso a los datos que no eran de Starwood pero no protegió los registros de Starwood.Rutas de confianza probadas, restricciones de salida, límites de administrador, monitoreo en ambos lados y puertas de integración explícitas.
¿Puede la organización contar personas, no solo filas?Los totales públicos pasaron de 500 millones de huéspedes a 383 millones de registros y luego a otras poblaciones específicas del procedimiento.Lógica de identidad deduplicada, linaje de datos, intervalos de confianza, mapeo de campos por persona y conjuntos de datos de notificación ensayados.
¿Dónde se gobierna cada registro?Una base de datos estadounidense contenía registros globales; la ICO, los estados de EE. UU. y otras autoridades tenían intereses.Localidad de almacenamiento y copia de seguridad, geografía de acceso, entidad legal, mecanismo de transferencia, región del interesado y mapa de reguladores.
¿Es la retirada un programa de seguridad o solo una fecha de migración?Marriott puso fin al uso comercial de la base de datos de Starwood en diciembre de 2018.Plan de desmantelamiento que cubra copias, interfaces, cuentas, secretos, hardware, retenciones legales, copias de seguridad y atestaciones de destrucción.
¿Puede una futura adquisición entrar en producción sin brechas heredadas?Las órdenes de la FTC y los estados exigen ahora una evaluación posterior a la adquisición y una planificación de la remediación.Criterios de puesta en marcha, aceptación de riesgos firmada al nivel adecuado, controles compensatorios, plazos y pruebas de cierre independientes.
¿Pueden los externos verificar la remediación?La FTC exige una evaluación independiente bienal y la certificación del CEO; los informes no son generalmente públicos.Evidencia lista para el regulador y, cuando sea seguro, métricas agregadas públicas sobre cobertura, excepciones, hallazgos y cierre.

Este cuadro de mando no asume que todos los controles estuvieran ausentes en todas partes. Traduce los modos de fallo documentados en preguntas de prueba. Es un estándar más exigente que una lista de verificación de políticas porque pregunta si los sistemas heredados se comportan como la dirección cree que lo hacen.

La rendición de cuentas pertenece donde cambia el control práctico

El intruso o intrusos desconocidos son responsables de la entrada no autorizada, la persistencia y la exportación. Esa responsabilidad no debe reasignarse a la organización víctima simplemente porque los reguladores examinen las salvaguardias. La responsabilidad corporativa aborda una cuestión diferente: ¿quién controlaba las condiciones que dificultaban la prevención, detección o contención del acceso, y quién controlaba la respuesta?

Starwood controlaba el entorno en el momento del compromiso inicial. Marriott no. Starwood también llevó el historial de seguridad anterior del punto de venta a la transacción. Estos hechos importan al reconstruir la causalidad.

Marriott controló la empresa adquirida después de septiembre de 2016. Eligió continuar con la plataforma de reservas de Starwood durante la migración, incluso por razones de continuidad comprensibles. Controló el ritmo y las condiciones de la mejora de la seguridad, la integración y la retirada. Las conclusiones legales de la ICO comienzan más tarde, el 25 de mayo de 2018, pero el control operativo comenzó en el cierre.

Accenture gestionó la base de datos de reservas y elevó la alerta de Guardium. Los registros públicos también identifican credenciales de Accenture comprometidas. Esos hechos establecen un importante papel de proveedor de servicios, no una asignación completa de culpa contractual o legal. Los litigios privados incluyeron reclamaciones contra Accenture, pero este artículo no trata las alegaciones no resueltas como sentencias.

Las juntas y la alta dirección controlaron la aceptación del riesgo y las demandas de evidencia. Sorenson dijo que se enteró del RAT el 17 de septiembre y que se informó a la junta al día siguiente. La orden posterior de la FTC exige ahora visibilidad anual de la junta e informes de incidentes, mientras que la certificación del CEO crea un canal directo de rendición de cuentas. La gobernanza no es que la junta opere un SIEM; es que la junta exija evidencia de que los riesgos heredados de alta consecuencia tengan propietarios, plazos y un cierre verificado.

Los reguladores controlaron diferentes remedios. La ICO aplicó un marco de protección de datos transfronterizo y emitió una sanción razonada. Los fiscales generales estatales obtuvieron dinero, derechos de los consumidores y salvaguardias detalladas. La FTC impuso un programa y un régimen de evaluación de larga duración, pero dijo que carecía de autoridad para obtener una sanción civil en ese caso. Los diferentes poderes legales producen diferentes resultados de rendición de cuentas.

Los huéspedes no controlaron casi ninguna de las condiciones anteriores a la brecha. No podían inspeccionar la cobertura de registro, saber que los campos de pasaporte tenían una protección inconsistente, ver que un atacante usaba credenciales privilegiadas o elegir si el sistema heredado permanecía activo. El monitoreo posterior a la brecha, la sustitución de tarjetas y la precaución ante el phishing les transfieren trabajo. Los derechos de eliminación y revisión de fidelización ayudan, pero llegan después de que la organización eligió la arquitectura de datos.

Lo que se puede concluir, y lo que permanece fuera del registro público

La evidencia pública respalda la firme conclusión de que el entorno de reservas de Starwood permaneció comprometido durante la adquisición y que Marriott no detectó al intruso durante casi dos años después del cierre. Respalda las cuatro conclusiones de la ICO sobre el RGPD para el período definido de 2018. Respalda el hecho de grandes poblaciones de registros globales mixtos, los acuerdos de EE. UU. de 2024 y las salvaguardias ejecutables resultantes.

No identifica al atacante mediante una sentencia penal pública. Los informes de prensa han recogido teorías de actores estatales, pero los registros oficiales revisados describen a un atacante desconocido o actores maliciosos. La atribución debe permanecer sin reclamar a falta de un documento de acusación público o una evidencia autorizada equivalente.

No muestra exactamente qué vulnerabilidad inicial fue explotada, todos los hosts alcanzados, todos los archivos eliminados o todas las personas cuyos datos fueron accedidos. No revela el informe forense completo de Verizon, el informe forense de tarjetas de pago, las evaluaciones de cumplimiento independientes o el conjunto completo de registros históricos.

No establece que todos los huéspedes afectados sufrieran fraude, que ningún huésped sufriera daños o que todas las combinaciones de datos tuvieran el mismo valor. La observación de Marriott en 2019 de que no había fraude atribuible fundamentado y la falta de daño financiero observado por la ICO son evidencia. También lo son los riesgos inherentes de suplantación y contacto dirigido reconocidos por la FTC. La conclusión honesta preserva ambos.

No le dice al público lo suficiente sobre la implementación de SHA-1 como para estimar la recuperabilidad de valores específicos de tarjetas o pasaportes. La corrección establece una clasificación errónea del método de protección, no los detalles de configuración faltantes.

No prueba que el programa actual de Marriott sea ineficaz. Tampoco las políticas, los comités, el gasto, los acuerdos regulatorios o una base de datos desmantelada prueban que todos los controles sucesores sean efectivos. Esa cuestión pertenece a las pruebas operativas y a la evaluación independiente.

La lección de la fusión es la propiedad de la incertidumbre

La lección más contundente de Marriott y Starwood no es que las empresas deban abandonar las adquisiciones que involucran tecnología heredada. Casi todas las grandes transacciones conllevan sistemas desconocidos, registros desiguales y excepciones heredadas. Tampoco es que la continuidad deba sacrificarse para retirar inmediatamente todas las plataformas adquiridas. Trasladar 1.270 hoteles preservando las reservas era una limitación operativa real.

La lección es que la propia incertidumbre se convierte en un riesgo propio en el cierre. Un comprador puede reconocer un acceso limitado antes del cierre sin aceptar una ambigüedad indefinida después del cierre. Puede aislar una red heredada sin confundir el aislamiento con la seguridad. Puede mantener una base de datos heredada temporalmente sin darle estándares temporales. Puede confiar en los informes de cumplimiento mientras prueba los controles que esos informes no cubren. Puede describir la criptografía solo después de rastrear la implementación real a nivel de campo.

La base de datos de Starwood contenía un modelo de negocio en miniatura: identidad, contacto, fidelización, pago y movimiento ensamblados para hacer funcionar la hospitalidad a través de las fronteras. Ese mismo ensamblaje hizo que el abuso fuera más económico y la responsabilidad legal más distribuida. Su ubicación física en Estados Unidos no localizó a las personas, los daños ni los deberes. Su condición de heredada no suspendió las obligaciones del controlador.

La orden de la FTC de 2024 redacta ahora el principio de adquisición en un lenguaje ejecutable: evaluar la entidad adquirida después del cierre, planificar contra las brechas identificadas y abordar las deficiencias antes de que los activos adquiridos entren en producción de Marriott. Esa regla es más limitada que la omnisciencia y más fuerte que el teatro de la diligencia. Le pide al propietario que convierta las representaciones en evidencia antes de que la confianza se expanda.

Marriott compró las marcas, hoteles, relaciones de fidelización y sistemas de Starwood. También compró la carga de descubrir lo que esos sistemas estaban haciendo realmente. El registro de la brecha muestra lo costosa que puede llegar a ser la distancia entre la creencia arquitectónica y la verdad operativa. La rendición de cuentas comienza cerrando esa distancia antes de que la próxima alerta tenga que hacerlo.