Violación de seguridad en programa de recompensas de Radisson

Share this…

Miles de usuarios se han visto afectados por el incidente

El mes pasado, la cadena de hoteles Radisson Hotel Group, que cuenta con más de mil 400 hoteles distribuidos en 114 países, descubrió que el sistema donde se alojaba su programa de recompensas había sido atacado, informan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética.

El ataque ocurrió el 11 de septiembre de 2018, pero fue detectado por la cadena de hoteles hasta el 1 de octubre. Los miembros afectados de Radisson Rewards, el programa de recompensas a usuarios de la empresa, fueron informados varias semanas después, durante los últimos días de octubre.

Acorde a los especialistas en forense digital de la cadena hotelera, menos del 10% de los miembros de su programa de recompensas se vieron afectados por este incidente.

Radisson Hotel Group pudo confirmar posteriormente que los atacantes no consiguieron acceso a los datos de las tarjetas de pago de los usuarios, ni a sus contraseñas o historial de viajes. Sin embargo, los siguientes datos sí fueron comprometidos durante el incidente:

  • Nombre completo
  • Dirección
  • País/países de residencia
  • Dirección email
  • Nombre de la empresa del usuario
  • Números de teléfono
  • Número de viajero frecuente
  • Número de membrecía de Radisson Rewards

En un aviso de seguridad, la cadena hotelera declaró:

“Todas las cuentas de los miembros afectados han sido aseguradas y rastreadas para monitorear cualquier posible actividad no autorizada. Si bien el riesgo continuo para las cuentas de Radisson Rewards es bajo, se recomienda a los usuarios mantenerse alerta de cualquier comportamiento anómalo”.

Radisson Group también aconsejó a los miembros estar al tanto de los correos electrónicos de phishing:

Los miembros de nuestro programa de recompensas deben tener en cuenta que terceros podrían hacerse pasar por Radisson Rewards e intentar recopilar información personal mediante el engaño (táctica conocida como phishing). Radisson Rewards no solicitará su contraseña o información de usuario vía correo electrónico.

Aunque Radisson ha contactado a los usuarios afectados, no ha revelado cuántos de sus miembros se habrían visto afectados por este incidente, tampoco se conocen detalles sobre los posibles autores del ataque.

Dado que la sede de Radisson está en Bélgica y muchos de sus usuarios son residentes de la Unión Europea, el incidente se encuentra bajo la jurisdicción de la estricta GDPR. Radisson ha confirmado que “el incidente fue informado de inmediato a los reguladores de la UE”, pero aún podría enfrentar multas de hasta 20 millones de euros o el equivalente al 4% de sus ganancias anuales si se descubre que ha infringido el derecho a la privacidad de las personas físicas.

Aparentemente Radisson no estaba preparado para el incidente y ahora está sufriendo las consecuencias, consideran especialistas en forense digital. Tratar de lidiar con las consecuencias del robo de datos mientras se llevan a cabo las operaciones regulares en la empresa es un desafío para cualquier organización, independientemente de su tamaño.

¿Qué puede hacer cualquier empresa al respecto?

Hay varias formas de prepararse para un incidente de seguridad de datos. La capacitación de concienciación del personal es esencial, junto con el cumplimiento de marcos regulatorios como el GDPR y el PCI DSS (estándar de seguridad para tarjetas de pago). Las organizaciones también pueden recurrir al trabajo conjunto con especialistas en TI y ciberseguridad para establecer mejores políticas de seguridad informática y cumplimiento con los estándares de seguridad que las autoridades demandan.