El ciberataque a MGM puede ser el más costoso de la historia, según un experto
octubre 9, 2023 - 3:14 pm
Actualizado October 11, 2023 - 1:58 pm
Todas las empresas de casinos de Las Vegas deberían estar preparadas ante la posibilidad de un ciberataque a la luz de los ataques de alto perfil que se produjeron en agosto y septiembre, según declaró el viernes un experto en software al Review-Journal.
Brett Callow, analista de amenazas de la empresa de software antimalware Emsisoft, cree que las pérdidas económicas sufridas por MGM Resorts International durante nueve días en septiembre han sido el ataque de ransomware más costoso de la historia, superando al perpetrado en junio de 2022 contra el fabricante noruego de aluminio Norsk Hydro.
En una presentación ante la Comisión de Bolsa y Valores el jueves, MGM estimó sus pérdidas en 100 millones de dólares, lo que afectó a las ganancias del tercer y cuarto trimestre. Los analistas creen que la mayor parte del daño financiero se produciría en el tercer trimestre. Se espera que la empresa anuncie sus resultados financieros a finales de este mes o principios de noviembre.
Norsk Hydro, que no pagó rescate a los atacantes, estimó sus pérdidas en 71 millones de dólares. No está claro si MGM pagó algún rescate.
Se ha reportado ampliamente que Caesars Entertainment Inc, que sufrió un ciberataque en agosto, pagó un rescate multimillonario a los atacantes, pero sufrió muchos menos daños en sus sistemas que MGM.
Ataque devastador
El ataque a MGM que comenzó el 10 de septiembre dejó fuera de servicio los sistemas informáticos y paralizó operaciones que iban desde la aplicación de MGM que permite a los huéspedes entrar en sus habitaciones de hotel hasta los pagos de las máquinas tragamonedas y el correo electrónico de la empresa. La empresa afirma que sus sistemas ya se han restablecido.
“En el caso de MGM, obviamente fue un acontecimiento bastante significativo, y podría llevar bastante tiempo recuperarse de ello, independientemente de si pagaron o no el rescate”, dijo Callow en una entrevista. “En el caso de Caesars, posiblemente podría ser menos extenso y pudieron recuperarse más rápidamente”.
Debido a la publicidad de los dos ataques, Callow cree que otras empresas de casinos deberían estar en guardia.
“Todo tipo de organizaciones son atacadas todo el tiempo”, dijo. “Si una organización tiene los medios para pagar, es un objetivo. Yo esperaría que otros ciberdelincuentes se fijaran en los casinos de Las Vegas para ver si hay alguna debilidad explotable en ese sistema”.
Dijo que los empleados de los casinos deberían desconfiar de las tácticas de ingeniería social practicadas por los ciberdelincuentes.
“La ingeniería social será cada vez más frecuente porque es el punto débil de muchas organizaciones”, afirma Callow. “Las empresas enseñan a sus empleados a hacer frente a las amenazas electrónicas, como los correos electrónicos de estafas, pero quizá no ponen tanto énfasis en las amenazas que llegan a través del teléfono, y eso es algo a lo que realmente deben prestar más atención”.
Varios analistas de la industria del juego han sopesado la respuesta pública de MGM el jueves.
“La revelación de MGM Resorts sobre el reciente ciberataque nos da una idea más clara del impacto tanto en términos de la brecha como del impacto monetario”, dijo Brendan Bussmann, analista de la industria del juego de B Global, con sede en Las Vegas. “El impacto de 100 millones de dólares en las propiedades de Estados Unidos, así como los 10 millones de dólares en costos inmediatos para hacer frente al problema, proporcionan a (Wall) Street cierto contexto sobre el impacto financiero actual para la compañía”.
Bussmann dijo que MGM necesitaba hacer una declaración temprana antes de que se dirigió a la temporada de ganancias, así como de cara a lo que probablemente será uno de los momentos de mayor actividad en Las Vegas, impulsado por la carrera del Grand Prix de Las Vegas en noviembre y el Super Bowl LVIII el año próximo.
“El impacto para los clientes de MGM también es crítico y la revelación de los datos que pueden haberse obtenido es clave para ayudar a los consumidores a proteger sus datos y monitorear su impacto en el futuro”, dijo. “La clave será conseguir que estas personas vuelvan a sus propiedades en todos los Estados Unidos y agradecerles su, como decía la carta, ‘paciencia’ en lo que ha sido difícil para la empresa, sus empleados y sus huéspedes”.
Información personal expuesta
El analista del sector del juego Joseph Greff, de J.P. Morgan, con sede en Nueva York, señaló que los ciberdelincuentes podrían haber obtenido algunos datos personales de clientes, pero no de la última adquisición de la empresa, The Cosmopolitan of Las Vegas.
En una nota a los inversores, Greff dijo: “MGM indicó que, sobre la base de una investigación en curso, cree que la actividad no autorizada de terceros está contenida en este momento. MGM ‘ha determinado, sin embargo, que los actores criminales obtuvieron, para algunos de los clientes de la compañía que realizaron transacciones con la compañía antes de marzo de 2019, información personal (incluido el nombre, la información de contacto (como el número de teléfono, la dirección de correo electrónico y la dirección postal), el sexo, la fecha de nacimiento y los números de licencia de conducir)… Además, la empresa no cree que los actores criminales hayan accedido a los sistemas o datos de The Cosmopolitan of Las Vegas. La empresa tampoco tiene pruebas de que los datos obtenidos por los delincuentes se hayan usado para el robo de identidad o el fraude de cuentas”.
El analista del sector del juego Carlo Santarelli, de la oficina neoyorquina del Deutsche Bank, dijo que el precio de las acciones de MGM ha bajado alrededor del 19 por ciento desde que se conoció la noticia del ciberataque. También reconoció que otros valores del juego han estado bajo presión por diferentes razones.
“En términos generales, creemos que la claridad financiera en torno a este problema, así como la reafirmación de un impacto limitado en las tendencias del 4T23, deberían servir como algo positivo para las acciones”, dijo Santarelli en una nota a los inversores el viernes.
Las acciones de MGM cerraron el viernes con un aumento del 4.9 por ciento, o 1.69 dólares por acción, hasta 36.48 dólares, con un volumen dos veces superior al promedio diario.