Marriott admite no haber utilizado cifrado durante la brecha de datos de 2018
La compañía ha revelado que había estado utilizando el algoritmo SHA-1 y no el cifrado AES-128, mucho más seguro, como había mantenido anteriormente.
Durante más de cinco años, la cadena hotelera Marriott ha defendido el uso de un cifrado fuerte cuando sucedió su brecha masiva de datos en 2018. Una afirmación que se ha caído recientemente cuando sus abogados han admitido que no habían usado tal seguridad (AES-128) en la infracción.
De hecho, no había estado ningún tipo de cifrado en ese momento, sino que había utilizado el algoritmo hash seguro 1 (SHA-1), que es un mecanismo, como su nombre indica, de hash y no de cifrado.
En la audiencia del Tribunal de Distrito de los Estados Unidos para la División Sur del Distrito de Maryland, el juez ordenó a la empresa “corregir cualquier información en su sitio web en un plazo de siete días”. La empresa no emitió ningún comunicado ni señaló cambio alguno. En cambio, añadió dos frases a una página de su web el 4 de enero de 2019. La única forma de verlo es hacer clic en la página de hace un lustro.
La actualización dice: “Tras una investigación con varios expertos líderes en seguridad de datos, Marriott inicialmente determinó que los números de tarjetas de pago y ciertos números de pasaporte en las tablas de las base de datos involucradas en el incidente de seguridad de Starwood que Marriott informó el 30 de noviembre de 2018, estaban protegidos utilizando el cifrado AES-128. Marriott ahora ha determinado que los números de tarjetas de pago y algunos de los pasaportes estaban protegidos con un método criptográfico diferente conocido como Secure Hash Algorithm (SHA-1)”.
Marriott no ha dicho por qué afirmó erróneamente que había utilizado AES-128
Hasta el momento, Marriott no ha respondido ninguna de las preguntas críticas en torno a la admisión. ¿Qué hizo que la empresa pensara inicialmente que había utilizado AES-128, suponiendo que efectivamente lo creyera? Después de investigaciones forenses realizadas por empresas externas, incluidas Accenture, Verizon y CrowdStrike, ¿cómo es posible que nadie se diera cuenta de que, en realidad, no había cifrado? Y si se dieron cuenta, ¿por qué Marriott repitió la afirmación de cifrado falso? Quizás lo más importante es ¿cuándo y cómo descubrió Marriott la verdad?
Douglas Brush, juez especial de los tribunales federales de Estados Unidos y director visionario de Accel Consulting que no trabaja en el caso Marriott, dijo que este giro de Marriott tiene implicaciones potencialmente graves para la empresa. Más allá de Marriott, ilustra algunos de los peligros asociados con cualquier reclamo falso en un caso de incumplimiento.
“¿Marriott hizo declaraciones falsas materiales a sus aseguradores para obtener cobertura antes y durante el evento para cubrir las pérdidas? Si Marriott efectivamente hiciera tergiversaciones materiales, constituiría una clara violación del contrato con la aerolínea. Esto podría llevar potencialmente a que la aseguradora presente una demanda para recuperar las coberturas”, dijo Brush. “Además, como parte de la diligencia debida de fusiones y adquisiciones, ¿quién diablos dijo que existía un determinado estándar de cifrado en torno a los datos? ¿Comprador, vendedor, ambos? Esto ahora genera problemas con la SEC porque la diligencia debida omitió algo que ahora tiene una larga cola y un impacto material significativo. Además, si esto se nota y se presiona, ¿afectará los precios de las acciones de 2024 y será una divulgación 8-K?
En marzo de 2019, la empresa había informado 28 millones de dólares en gastos relacionados con la infracción.
AES-128 y SHA-1 son dos enfoques de seguridad muy diferentes
Brush añadió que la naturaleza técnica de estos dos enfoques de seguridad tan diferentes (AES-128 y SHA-1) plantea dudas sobre cómo es posible que se haya pasado por alto que el cifrado no estaba implementado. Por ejemplo, cuando Marriott compró los sistemas a Starwood, habría tenido que integrar los dos sistemas. "Para integrar los sistemas, era necesario conocer el esquema de cifrado", dijo Brush.
Cuando se le pidió que hiciera una comparación de seguridad entre AES-128 y SHA-1, Fuad Hamidli, criptógrafo y profesor titular del Instituto de Tecnología de Nueva Jersey, dijo: “SHA-1 no es seguro. Está roto” y que SHA-1 “es malo porque no es seguro desde una perspectiva criptográfica. No conozco ningún algoritmo que pueda romper AES-128. No tiene ningún sentido proteger los datos con SHA-1”.
Phil Smith, que crea productos de cifrado como gerente de productos de cifrado de Open Text, estuvo de acuerdo con la evaluación de Hamidli. “No vas a utilizar fuerza bruta en un AES-128. Puedes descifrar SHA-1 en menos de una hora”.
Los abogados de los demandantes dicen que la identificación errónea frustró los esfuerzos de búsqueda de fraude
Los abogados de los consumidores que demandaron a Marriott argumentaron ante el juez Bailey que la nueva información es seria porque está bien aceptado que SHA-1 no es cifrado sino más bien un algoritmo hash que puede piratearse muy rápidamente. "De hecho, las marcas de tarjetas ni siquiera permiten proteger la información utilizando ese tipo de algoritmo", dijo la abogada Amy Keller.
“Y luego el otro problema es que Marriott dijo: 'No se preocupen porque no hemos encontrado evidencia generalizada de fraude'. El problema con esa afirmación es que ignora el hecho de que cuando le dices a la gente que cierta información está cifrada, suceden dos cosas. La primera es que marcas de tarjetas como Mastercard y VISA dejen de investigar por fraude generalizado. Entonces, si la marca de la tarjeta determinó que el fraude generalizado no pudo haber ocurrido porque la información estaba encriptada, el tipo de información que estaban buscando ahora se perdió para siempre porque eso fue hace cinco años”.
En un expediente judicial, el abogado de los demandantes añadió que una declaración de la experta en responsabilidad Mary Frantz afirmaba que la protección de los datos de las tarjetas de pago a través de SHA-1 es funcionalmente lo mismo que no tener cifrado, "ya que cualquier pirata informático que utilizara un portátil moderno podría haber revelado el pago". números de tarjetas y pasaportes extraídos de la base de datos de Marriott”.
Marriott no está de acuerdo con que el problema sea grave y se haya perdido información
Lisa Ghannoum, representante de Marriott, no estuvo de acuerdo con los argumentos de Keller, incluyendo que se había perdido información. “Ese simplemente no es el caso”, afirmó Ghannoum. “Las partes interesadas están preservando la información. De hecho, los demandantes pidieron a los demandados que preservaran la información y nosotros accedimos a ello. Lo habríamos hecho de todos modos. La idea de que la información se ha perdido para siempre simplemente no es exacta”.
“Verizon, un tercero independiente, llegó a la misma conclusión que Marriott inicialmente, que los datos en estas tablas involucradas estaban protegidos por cifrado AES-128, al igual que otros expertos técnicos de Marriott, incluido CrowdStrike. En respuesta, trabajó con un equipo especializado”, dijo Ghannoum. “Sólo recientemente Marriott tuvo motivos para cuestionar eso. Se movió con la debida celeridad para verificar si ese era el caso o no, y tan pronto como se dio cuenta de que era necesaria una corrección, la hizo”.
