Best Western forzada a defenderse contra revelación de robo de datos

29 de agosto de 2008 (Computerworld) El titular de esta semana del Sunday Herald de Glasgow - "Revelado: 8 millones de víctimas en el hurto cibernético más grande del mundo" - era cautivador. Y, desde luego, incomodó a la cadena hotelera Best Western International Inc., que trató de hacer control de daños después que el periódico escocés informó que hackers habían irrumpido en su sistema de reservas en línea y robado 8 millones de registros de clientes. Según el Sunday Herald, los registros contenían datos de todos los que se hospedaron en los 1.312 hoteles de Best Western en Europa este año y el 2007. Después de que la historia apareciera el 24 de agosto, la cadena con sede en Phoenix, Arizona reconoció que el Sunday Herald les había alertado sobre un "posible riesgo" de los datos. Pero la compañía impugnó las afirmaciones del periódico sobre el alcance de la irrupción en el sistema, diciendo que la historia era "manifiestamente infundada". Best Western dijo que la violación sólo había afectado a 13 clientes en un solo hotel en Berlín - un número que redujeron posteriormente a 10. No obstante, la empresa no podía contener el desbordamiento en línea de historias y boletines en blogs acerca de la violación de datos que siguió a la publicación del Sunday Herald, que dice que un hacker de la India había obtenido claves del sistema de reservas en línea del Best Western. Después, el hacker vendió la información sobre cómo acceder a los datos en el sistema "a través de una red subterránea operada por la mafia rusa", dice la historia. La experiencia de Best Western pone de manifiesto los problemas de relaciones públicas que pueden resultar de incumplimiento por divulgación, así como la necesidad de tener planes amplios de respuesta a incidentes apropiados para lidiar con tales revelaciones. En este caso, el Best Western podría habérsele adelantado al Sunday Herald al dar la noticia sobre la violación ellos mismos. La intrusión tuvo lugar el 21 de agosto, según el periódico, que le avisó sobre el robo a la hotelera al día siguiente, dos días antes de publicar la historia. En comentarios enviados por e-mail esta semana, la vocera de Best Western indicó que la empresa fue sorprendida por las afirmaciones del Sunday Herald sobre el alcance del robo. El reportero que escribió la historia no mencionó la posibilidad de que 8 millones de registros habían sido robados cuando habló con funcionarios de Best Western, dijo la vocera. Ella dijo que él simplemente preguntó por el número de habitaciones y hoteles Best Western en Europa, y parece haber usado esos números para extrapolar la cifra de 8 millones. Y la única evidencia del robo que el reportero presentó fue una captura de pantalla de un único ingreso sugiriendo un posible riesgo, añadió la vocera. "Básicamente, el Herald obtuvo una declaración de nosotros sobre un tema y usó esa declaración para reportar sobre otro", dijo. El reportero, Iain S. Bruce, aún no ha respondido a preguntas sobre el asunto que le envió Computerworld por correo electrónico el pasado martes a petición suya. Incluida estaba la pregunta acerca de si él había discutido su versión de 8 millones de víctimas con Best Western antes de publicar su historia. Es razonable que una compañía cuyos sistemas han sido violados se asegure de comprender plenamente el alcance de lo que ha sucedido antes de hacerlo público, dijo Chris Hoofnagle, abogado senior en el Centro Berkeley para leyes y tecnología de la Universidad de California, Berkeley. "La regla general es que uno no debería revelar la fuga hasta que su alcance haya sido determinado", dijo Hoofnagle. Pero aún cuando Best Western no fuera plenamente consciente de lo que estaba por golpearles para cuando el Sunday Herald publicara su historia, en tales casos es mejor para las compañías revelar escapes antes de que alguien más lo haga por ellas, dice Kirk Nahra, un abogado especializado en privacidad de datos y cuestiones de seguridad de Wiley Rein LLP en Washington. Ejecutivos corporativos a menudo vacilan en hacerlo, Nahra reconoció, señalando que tienen que pensar en distintos tipos de público cuando revelan hurtos de información – incluyendo "abogados que buscan entablar demandas judiciales". Pero, dijo, "el asunto es cómo se controla. Uno hace lo que puede para que sea una historia de un día y no de 10." Le tomó a Best Western hasta el martes detallar su versión del hurto. En una declaración emitida ese día, la compañía dijo que el incidente implicaba un ID de usuario que proveyó acceso sólo a los datos almacenados en la filial berlinesa. El ID fue "inmediatamente cancelado", y una computadora fue "sacada de servicio" después que un antivirus le encontrara un troyano, dijo Best Western. Aparentemente esa fue una referencia a la herramienta de registro por tecleo usada por el hacker. Además de ser exclusiva del Sunday Herald, el Best Western se contradijo sobre que tan rápido borran los datos de reservaciones de sus sistemas. El 24 de agosto dijo que los datos son purgados "apenas se marchan los huéspedes." Pero el martes pasado, la compañía enmendó su declaración diciendo que los datos se eliminan dentro de los siete días siguientes al checkout. La mayoría de las compañías han definido procesos internos para manejar robos de datos, dijo John Pescatore, analista de Gartner Inc. Con todo, dijo que los funcionarios de Best Western pueden haber sido sorprendidos debido a que la intrusión en el sistema les fue revelada por un periodista que buscaba escribir una historia del caso — y comentarios inmediatos de la cadena hotelera. El episodio muestra por qué las compañías deberían simular diferentes escenarios en los que prueben sus planes de respuesta a incidentes, dijo Pescatore. Best Western, añadió, puede haber descubierto lo que "muchas compañías aprenden la primera vez que realmente tienen que poner en práctica su plan de recuperación de desastres — 'Vaya, deberíamos haber tenido un ensayo'".