Hackear un casino: lecciones de los ataques a MGM y Caesars en Las Vegas

Existen 4 tipos de compañías: las que ya fueron hackeadas y las que van a ser hackeadas, citando a Robert Mueller, ex director del FBI, y yo agrego a las que ya fueron hackeadas y no lo saben y a las que volverán a ser hackeadas. Los hoteles y casinos MGM Resorts y Caesars Entertainment en Las Vegas acaban de confirmarse en el club.

¿Qué lecciones nos dejan sus experiencias?

Las mejores lecciones de ciberseguridad pueden extraerse del hackeo a MGM Resorts, que opera en Las Vegas con el Bellagio, el Mandalay y el MGM Grand, el tercer complejo hotelero más grande del mundo.

1. MGM Resorts actuó rápido, con transparencia y sin miedo. En cuanto se conoció la vulneración, el equipo técnico de MGM “apagó” sus sistemas operativos y obligó al personal a regresar al viejo sistema de lápiz y papel para documentar a los clientes en los hoteles. Reactivó sus sistemas el 5 de octubre pasado.
2. MGM se negó a pagar el rescate por secuestro de información (ransomware). Se desconoce la cantidad que pidieron los hackers, posiblemente vinculados con la sociedad ilegal que administra la familia de ransomware BlackCat, utilizado en el hackeo de julio a la Caja Popular Mexicana.
3. Los hackers tuvieron algo de éxito al robar información privada de clientes registrados antes de marzo de 2019, informó Bill Hornbuckle, el CEO de MGM Resorts, que incluye: nombres, datos de contacto, género, fecha de nacimiento y números de licencias de conducir. Además, robaron de un número limitado copia de sus números de Seguridad Social y pasaportes.
4. MGM Resorts informará por correo electrónico a los afectados y les ofrecerá durante dos años el servicio de monitoreo de datos personales de Experian, una compañía especializada en el rastreo de información personal en la red.
5. El hackeo se produjo el 10 de septiembre. MGM calcula pérdidas de 100 millones de dólares por ingresos no producidos por la falla en sus sistemas de reservación en línea. El ataque también afectó el uso de máquinas tragamonedas, los sistemas de apertura con tarjeta de las habitaciones de hotel y los cajeros para retirar dinero dentro de las instalaciones.
6. MGM pagará 10 millones de dólares a los expertos que contrató para recuperar la información y por servicios de consultoría técnica, legal y de remediación de sistemas informáticos. La compañía espera que su seguro por incidentes cibernéticos cubra los costos.

El hackeo al Caesars, que opera el Caesars Palace, el Flamingo y The Cromwell, ambos en la Strip, tiene diferencias:

1. Caesars pagó el rescate de los hackers. Los sistemas de Caesars Entertainment fueron vulnerados el 27 de agosto y la empresa pronto pagó a los hackers una cantidad aproximada a la mitad del monto reclamado de 30 millones de dólares. Nunca hubo evidencia de afectación en sus operaciones. Se supo del asunto después de ocurrido el hackeo al MGM.
2. Los hackers robaron una copia del programa de lealtad, que incluye datos personales como los números de Seguridad Social y de la licencia de conducir de un “número significativo de clientes”, informó la empresa al regulador bursátil.

El FBI sugiere no pagar rescates a los hackers porque no existe evidencia de que vayan a cumplir su palabra ni de regresar la información secuestrada ni de que la van a borrar después de que reciban el dinero de la extorsión. Además, cuando un actor de una industria paga un rescate se produce un efecto cascada contra esa industria, pues los hackers la ven como una oportunidad de generación de ingresos entre otros actores con una ciberseguridad disminuida.

No hay duda de que las autoridades de Estados Unidos revisarán con lupa ambos casos y de que podrán producirse demandas colectivas para reclamar indemnizaciones de parte de las personas afectadas, pero esto se conocerá en los próximos meses.

En los casinos, la ciberseguridad es un caso raro donde la casa no siempre gana.

Hackeos a empresas privadas

• Hackear un casino: lecciones de MGM y Caesars en Las Vegas (9 de octubre, 2022)
• Hackear a Rackspace (14 de diciembre, 2022)
• Hola, me robaron tus datos personales… Atte. Twitter (15 de agosto, 2022)
• Lecciones del hackeo a McDonald’s México (2 de mayo, 2022)
• Hay más usuarios afectados por hackeo a Mercado Libre (23 de abril, 2022)
• Lecciones del hackeo a Mercado Libre (13 de marzo, 2022)
• Lecciones del hackeo a YoTePresto (16 de agosto, 2020)
• Lecciones del hackeo a iVoy (10 de agosto, 2020)
• Lecciones del hackeo a Bitso (11 de junio, 2020)
• Hoteles Marriott: salvados por el coronavirus (4 de junio, 2020)
• Capital One: Instrucciones para robar un banco (5 de agosto, 2019)
• Empleados de KPMG México descargaron facturas del SAT sin autorización y vulneraron datos personales de sus clientes (19 de abril, 2019)
• Lecciones del hackeo a los hoteles Marriott (10 de diciembre, 2018)
• ¿Cuánto pagará Uber en México por el hackeo de datos personales? (1 de octubre, 2018)
• Enconta expuso estados de cuenta y otros datos personales de sus clientes en la nube de Amazon (24 de septiembre, 2018)
• Hova Health: a la vista de quien sea, los datos personales sensibles de ciudadanos de Michoacán (20 de agosto, 2018)
• Uber: el negocio, por encima de la seguridad de usuarios y choferes (3 de diciembre, 2017)
• Lecciones del hackeo a la consultora Deloitte (9 de octubre, 2017)
• Lecciones del hackeo al buró de crédito Equifax (11 de septiembre, 2017)
• Hackear las elecciones (9 de junio, 2017)
• Yahoo: Hit me, baby, one more time (24 de enero, 2017)

Comentarios