MGM Resorts International, una de las cadenas de hoteles y casinos más grandes del mundo fue víctima de un ataque de ransomware que causaría un impacto superior a los 100 millones de dólares en sus resultados del tercer trimestre.
Según información de Reuters, la compañía cerró sus sistemas después de detectar que el ataque habría generado daños y prefirió interrumpir su operación de inmediato, esperando no recibir más afectaciones.
Después del ataque del mes pasado, los clientes publicaron imágenes en las redes sociales que mostraban máquinas tragamonedas con mensajes de error y largas filas en los hoteles de Las Vegas.
Se cree que detrás del ataque estarían dos grupos de atacantes: AlphV y Scattered Spider, que lograron vulnerar a la empresa y robar datos para retenerlos con fines de extorsión.
Los datos privados de los clientes que utilizaron los servicios de MGM antes de marzo de 2019 (incluida la información de contacto, el sexo, la fecha de nacimiento y los números de licencia de conducir) fueron violados. Sin embargo se presume que también obtuvieron números de pasaportes y de seguro social.
La filtración de datos de MGM, que el FBI está investigando, es un claro ejemplo de cómo las grandes organizaciones siguen siendo vulnerables al cibercrimen. Los analistas que han seguido la pista de Scattered Spider dicen que cada vez más organizaciones han caído en los hábiles esquemas de ingeniería social del grupo.
La compañía estima que el impacto de este ataque estará alrededor de los 100 millones de dólares en sus ganancias principales.
“Prácticamente todos los sistemas de acceso a los huéspedes de la Compañía han sido restaurados”, dijo, y agregó que no espera ningún impacto en sus resultados de todo el año debido a la violación.
El caso de Caesars Palace
Según información de NBC, Caesars Entertainment (dueña del famoso Casino Caesars Palace de Las Vegas) también habría sufrido un ataque similar casi al mismo tiempo, aunque no habría sufrido mayores daños.
En un reporte entregado a la Comisión de Bolsa y Valores de los Estados Unidos, la compañía aseguró que los delincuentes habían obtenido acceso a cierta información de los clientes, como información de licencias de conducir y números de seguro social de personas inscritas en el programa de fidelización de Caesars.
En particular, a diferencia de MGM, Caesars no experimentó interrupciones. Caesars dijo que había “tomado medidas para asegurarse de que el actor no autorizado elimine los datos robados, aunque no podemos garantizar este resultado”.
Los expertos en ciberseguridad consultados por NBC afirmaron que era muy posible que Caesars hubiera pagado a los atacantes, lo que podría explicar por qué la empresa evitó el destino de MGM.
“Los operadores de ransomware normalmente sólo eliminan datos si se paga el rescate”, dijo Brett Callow, analista de la empresa de remediación de ransomware Emsisoft en declaraciones a NBC.
Un problema ético
¿Está bien que las empresas paguen a los delincuentes para evitar los elevados costos de un ataque de ransomware? Esta clase de acciones envía un mensaje claro: los delincuentes se salieron con la suya. Si una compañía como Caesars paga, ¿por qué no lo podrían hacer otros?
Sin embargo, la misma empresa asegura que no hay garantía de que los datos hayan sido eliminados. Podríamos inferir que a la empresa le pareció más costoso aceptar su error y lidiar con el problema, que pagar para ‘silenciar’ el asunto.
Los datos de los clientes tienen entonces poca importancia para la compañía. Pagó sin garantía de que los datos hayan sido eliminados o de que no se usarán con fines delictivos.
¿Si su empresa es atacada, actuará como MGM o como Caesars? ¿Qué es más importante para su organización?