Abril de 2018 : Hilton es multado por la filtración de datos
Hilton Domestic Operating Company, Inc, la empresa matriz de los hoteles Hilton, ha recibido una multa de $700.000 (525.000 libras esterlinas) tras ser acusada de gestionar mal dos violaciones de datos distintas relacionadas con tarjetas de crédito.
Los ataques, que se produjeron en 2014 y 2015, pusieron en peligro más de 360.000 cuentas. No está claro si los atacantes pudieron extraer datos de las tarjetas de crédito. Los investigadores de EE.UU. afirman que la empresa tardó demasiado en avisar a los clientes y careció de las medidas de seguridad adecuadas.
La multa se dividirá entre los estados de Nueva York y Vermont. Sus fiscales generales han llegado a un acuerdo con la empresa, que opera las marcas Waldorf Astoria, Conrad Hotels y DoubleTree, además de Hilton.
Intención maliciosa
El primero de estos dos casos de malware se descubrió en febrero de 2015, cuando Hilton descubrió que uno de sus sistemas con sede en el Reino Unido se conectaba con un ordenador sospechoso fuera de su red corporativa. Las comprobaciones posteriores indicaron que el malware, que tenía como objetivo las tarjetas de crédito, había infectado sus ordenadores de caja, pudiendo revelar los datos de las tarjetas de crédito de los clientes entre ellos. Esto ocurrió entre el 18 de noviembre y el 5 de diciembre de 2014.
Un sistema de detección de intrusos alertó a Hilton de otro problema en julio de 2015. Una investigación posterior sobre este segundo incidente reveló que los datos de las tarjetas de pago habían vuelto a ser objeto de malware desde abril de ese mismo año. Hilton no notificó al público las violaciones de datos hasta noviembre de 2015. Esto fue más de nueve meses después del primer descubrimiento y más de tres meses después del segundo. Para entonces, los medios de comunicación ya habían informado de que varios bancos sospechaban que los datos de las tarjetas de crédito habían sido robados de los sistemas de pago utilizados en las tiendas de regalos y restaurantes de Hilton.
La empresa sostiene que no ha podido encontrar pruebas de que se hayan robado datos en ninguno de los dos casos. Los fiscales señalaron que los intrusos habían utilizado "herramientas antiforenses" que impedían identificar con precisión lo ocurrido.
Como parte del acuerdo, Hilton ha prometido revelar las futuras infracciones con mayor rapidez y realizar pruebas de seguridad periódicas, entre otros esfuerzos de seguridad mejorados.
La empresa dijo en un comunicado que "Hilton está firmemente comprometido con la protección de la información de las tarjetas de pago de nuestros clientes y con el mantenimiento de la integridad de nuestros sistemas".
Comentario del editor:
Las noticias corren rápido cuando una empresa como Hilton es multada por violación de datos. Sin embargo, este incidente ocurrió antes de la nueva ley del GDPR entró en vigor en mayo de 2018, lo que habría supuesto una sanción económica mucho mayor. Se espera que en los próximos meses aparezcan muchas más historias como esta.
Si Hilton hubiera estado sujeto a las sanciones del GDPR, la empresa probablemente habría tenido que pagar más de $400 millones, o $1.200 por cada registro comprometido. Las empresas con sede en Estados Unidos, al igual que cualquier otra empresa que haga negocios en la UE, están obligadas a cumplir la normativa del GDPR. Véase también: Yahoo recibe una multa de 250.000 libras esterlinas por la filtración de datos – BT es multada por la ICO- Hilton es multado por la violación de datos
