( Reuters ) – Marriott International dijo el viernes que los piratas informáticos accedieron a más de 500 millones de registros de clientes en su sistema de reservas de Starwood Hotels en un ataque que comenzó hace cuatro años, exponiendo datos como números de pasaporte y tarjetas de pago.

Las acciones bajaron un 5,7 por ciento en las transacciones de la tarde debido a las noticias del hackeo, una de las más grandes de la historia, lo que llevó a los reguladores de Gran Bretaña y al menos a cinco estados de EE. UU. A iniciar investigaciones.

La Oficina Federal de Investigaciones dijo que estaba investigando el ataque a Starwood, cuyas marcas incluyen hoteles Sheraton, St. Regis, W y Westin. Se recomendó a los clientes afectados que verifiquen si hay fraude de identidad y lo reporten al Centro de Quejas de Delitos de Internet de la oficina.

El truco comenzó en 2014, un año antes de que Marriott ofreciera comprar Starwood para crear el operador de hoteles más grande del mundo. El acuerdo de $ 13.6 mil millones se cerró en septiembre de 2016.

Según la compañía, se expusieron cerca de 327 millones de registros de clientes que contenían información que incluía detalles de pasaporte, fechas de nacimiento, direcciones, números de teléfono y direcciones de correo electrónico.

Los hackers también accedieron a los datos de la tarjeta de pago para un número no revelado de clientes, dijo la compañía.

“Lo que hace que esto sea serio es la cantidad de personas involucradas, la intimidad de los datos que se tomaron y la larga demora entre la violación y el descubrimiento”, dijo Mark Rasch, ex fiscal federal de delitos cibernéticos de EE. UU.

Algunos clientes se quejaron a Marriott en Twitter, donde Starwood estaba entre los principales temas de los Estados Unidos. Usaron términos que incluyen “engañados”, “enojados” y “desastre de la fusión” para expresar frustración por el incidente.

Los abogados presentaron una demanda en un tribunal federal de Maryland a las pocas horas de la divulgación que busca el estado de acción colectiva para los clientes cuyos datos fueron expuestos en la infracción.

La demanda acusa a Marriott de negligencia y de prácticas comerciales engañosas e injustas y solicitó una compensación financiera no especificada por los daños causados ​​por la exposición de sus datos.

La compañía dijo en su sitio web que se enteró de la violación el 8 de septiembre cuando una herramienta de seguridad interna envió una alerta sobre una actividad sospechosa.

“Nos quedamos cortos de lo que merecen nuestros huéspedes”, dijo el presidente ejecutivo de Marriott, Arne Sorenson, en un comunicado.

Los fiscales generales de Connecticut, Illinois, Massachusetts, Nueva York y Pensilvania dijeron que investigarán el ataque, al igual que la Oficina del Comisionado de Información del Reino Unido.

“El público merece saber cómo sucedió esto”, dijo la procuradora general de Massachusetts, Maura Healey, en un comunicado.

No se pudo contactar a los representantes de la compañía para comentar sobre la demanda, las investigaciones del gobierno o para explicar por qué se había tardado tanto en descubrir y revelar el truco.

Marriott dijo en su sitio web que informaría a los huéspedes afectados sobre el incumplimiento a partir del viernes, y que lo había informado a las autoridades policiales y regulatorias.

La brecha pareció ser la segunda más grande registrada, basada en registros comprometidos, después de una en Yahoo en 2013 que expuso todas sus 3 mil millones de cuentas de usuarios. Ese incidente costó $ 47 millones en gastos de litigio y llevó a Verizon Communications a reducir $ 350 millones del precio que pagó cuando adquirió la mayor parte de Yahoo.

Marriott dijo que era demasiado pronto para estimar el impacto financiero de la brecha, aunque no afectaría su salud financiera a largo plazo. La cadena de hoteles dijo que estaba trabajando con sus compañías de seguros para evaluar la cobertura.

Baird Equity Research dijo en una nota a los clientes que los costos relacionados con el incumplimiento, incluidos los honorarios legales, los gastos técnicos y el aumento de la seguridad, podrían obligar a Marriott a retrasar el lanzamiento de un nuevo programa de fidelización de clientes planeado para principios de 2019.

“La confianza de los inversores hacia Marriott podría permanecer algo negativa en el corto plazo hasta que este incidente de seguridad se resuelva por completo y se descubra su verdadero impacto financiero”, dijo Baird.

Los minoristas Target y Home Depot incurrieron en costos de alrededor de $ 200 millones luego de infracciones masivas de tarjetas de pago en 2013 y 2014.

El incumplimiento de Hyatt pone de relieve la necesidad de que las empresas presten mucha atención a la seguridad cibernética al realizar adquisiciones.

“Comprender la postura de seguridad cibernética de una inversión es fundamental para evaluar el valor de la inversión y considerar los daños legales, financieros y de reputación que podrían afectar a la compañía”, dijo Jake Olcott, vicepresidente de la firma de ciberseguridad BitSight.