Donar
Los datos de clientes no siempre son un activo: lecciones del robo de datos de Marriott Thumbnail
‹ Atrás
Generar confianza 10 diciembre 2018

Los datos de clientes no siempre son un activo: lecciones del robo de datos de Marriott

Ryan Polk
Por Ryan PolkSenior Policy Advisor

A medida que mejora el análisis de datos, la enorme cantidad de información que las empresas adquieren de sus clientes han aumentado su valor económico. En el mundo corporativo actual, estos datos pueden ser un auténtico activo para las empresas. Sin embargo, hoy hemos visto en las noticias de actualidad que los registros de más de 500 huéspedes de los hoteles de la división Starwood de Marriott International se han visto implicados en un robo de datos, lo que deja claro que hay que volver a evaluar el enfoque corporativo sobre el valor de los datos de los clientes.

En especial en lo relacionado con las adquisiciones corporativas, las empresas deben empezar a tratar los datos de los clientes como una posible responsabilidad, además de un activo.

En septiembre de 2016, Marriott International adquirió Starwood por 13 600 millones de dólares. Cuando Marriott International se propuso adquirir la cadena de hoteles Starwood, los datos de los clientes de Starwood tuvieron una función primordial en su argumentación de la adquisición. Arne Sorenson, CEO de Marriott, mencionó los mayores ingresos y la superior fidelidad a la marca entre los miembros del programa, y se refirió específicamente al programa de fidelidad de Starwood como una «razón estratégica esencial para la transacción». Los programas de fidelidad, además de atraer a clientes periódicos, también «ofrecen a los hoteles gran cantidad de información sobre sus huéspedes», algo que pueden utilizar para crear «campañas de marketing muy específicas para distintos tipos de huéspedes».

Cuando Marriott International adquirió Starwood, su valioso programa de fidelidad y los datos de sus clientes también adquirió, sin saberlo, una infracción de datos en curso, que provocaría futuros daños en su marca global.

Como ha sugerido una investigación interna, los delincuentes responsables de este reciente robo de datos habían irrumpido en las redes de Starwood desde 2014, dos años antes de la adquisición. Estos delincuentes obtuvieron «acceso no autorizado a la base de datos que contiene la información de los huéspedes relacionada con las reservas en los establecimientos de Starwood el 10 de septiembre de 2018 o antes». Para algunos clientes, esta información incluye información personal como sus datos de contacto, direcciones de correo electrónico, nombres e incluso números de pasaporte. Marriott International no ha podido descartar la posibilidad de que también hayan obtenido información sobre medios de pago, como números de tarjetas de crédito.

En las noticias, no es un robo de datos de Starwood, sino de Marriott International. Y este incidente ya está causando daños a la empresa. De la mañana a la noche, el valor de sus acciones cayó más del 5 %. Como cualquier robo de datos, este incidente dañará la relación de confianza entre la compañía y sus clientes, y para recuperarla, Marriott International: ha creado un sitio web sobre el incidente y un centro de llamadas específico; ha comunicado que enviará avisos por correo electrónico a todos los afectados y que correrá con el coste de un servicio de monitorización durante un año para avisarles en caso de que su información personal se comparta en línea (en algunos países). Todo esto requiere dinero y recursos.

La adquisición de Marriott-Starwood y el robo de datos también nos enseña una lección importante: cuando una empresa está negociando una adquisición, la seguridad de los datos y las prácticas de tratamiento deben ser una parte crucial de las negociaciones y de la diligencia debida de una empresa.

Cuando Marriott International adquirió Starwood y sus datos, también adquirió los riesgos relacionados con el almacenamiento y el tratamiento de los mismos. La seguridad digital es una parte esencial de la cuenta de resultados de una empresa y los incidentes de seguridad pueden resultar desastrosos para una compañía. Antes de realizar una adquisición, las compañías deben estudiar detenidamente las prácticas de seguridad digital y tratamiento de datos de las empresas que piensan adquirir, analizar los riesgos y volver a evaluar sus planes.

¿Qué nivel de riesgo estoy dispuesto a asumir? ¿13 600 millones de dólares y un robo de datos es un acuerdo justo?

Lea el informe Cyber Incident & Breach Trends, que incluye algunos principios clave y una lista de comprobación general.

‹ Atrás

Descargo de responsabilidad: Las opiniones expresadas en esta publicación pertenecen al autor y pueden o no reflejar las posiciones oficiales de Internet Society.

Únase a la conversación con miembros de Internet Society alrededor del mundo