La FTC solicita orden que obligue a MGM a responder a la investigación sobre ciberataque

La Comisión Federal de Comercio (FTC) presentó una petición ante el Tribunal de Distrito Federal en Nevada para obligar a MGM Resorts International a responder a una demanda de investigación para obtener información relacionada con el ciberataque de septiembre contra la empresa turística con sede en Las Vegas.

MGM se ha negado a responder a la demanda de investigación civil, conocida como CID.

“La ejecución judicial es necesaria para que el personal de la FTC pueda llevar a cabo su investigación de forma exhaustiva y rápida”, dijo la FTC en su petición. “La FTC solicita respetuosamente a este tribunal que emita una orden exigiendo a MGM que comparezca y muestre la causa por la que no debe cumplir con la CID y, posteriormente, conceda la petición de la FTC y emita una orden que obligue a MGM a presentar los documentos y la información especificados en la CID”.

La petición de la FTC dice que es importante investigar porque desde 2019, MGM ha tenido otras violaciones de seguridad de datos reportadas públicamente que comprometen la información personal de los consumidores, según la agencia, la más reciente ocurrió en septiembre de 2023. Según los informes, una brecha anterior ocurrió en febrero de 2019.

La FTC solicita que se exija a MGM que responda a la CID dentro de los 10 días posteriores a la emisión de la orden judicial que solicita.

La petición está relacionada con la demanda pendiente que MGM interpuso en abril contra la FTC y su presidenta, Lina Khan, ante el Tribunal de Distrito de Columbia.

“Hemos colaborado con las fuerzas de seguridad federales desde el principio y hemos seguido las directrices del Gobierno al negarnos a pagar un rescate y recompensar a los delincuentes por sus horrendas acciones”, declaró el martes un portavoz de MGM en respuesta a la petición de la FTC. “La idea de que el gobierno amenace y castigue a las víctimas por hacerlo envía un mensaje peligroso que envalentona a los delincuentes y amenaza la seguridad nacional. Nuestra demanda contra la FTC para proteger nuestros derechos en virtud del debido proceso sigue pendiente”.

Inhabilitación solicitada

MGM pide que se descalifique a Khan para participar en la investigación porque ella y un ayudante estaban alojados en el MGM Grand en septiembre, cuando se produjo el ciberataque, que costó a la empresa unos 100 millones de dólares.

MGM también ha pedido al tribunal que declare inconstitucionales las Reglas de Práctica de la FTC con respecto a las Peticiones de Recusación de Comisionados y que diga que la empresa no está sujeta a dos reglas impuestas a las instituciones financieras: la llamada “Regla de Bandera Roja” y la “Regla de Salvaguardas”.

La “Regla de la Bandera Roja” exige a las empresas crear un programa escrito de prevención del robo de identidad diseñado para identificar, detectar y responder a las “banderas rojas” que indican un posible robo de identidad. La “Regla de Salvaguardas” exige a las empresas cubiertas que desarrollen, apliquen y mantengan un programa de seguridad de la información.

La FTC considera que MGM está sujeta a esas reglas porque expide “marcadores” a los apostadores de grandes sumas. Aunque el juego con marcadores representa un pequeño porcentaje del juego en los casinos, las empresas de juego afirman que equivale a que un apostador juegue a cuenta y no a crédito.

La demanda también busca un plazo razonable para presentar la CID si se permite a la FTC continuar su investigación. La empresa envió sin éxito una carta a la agencia solicitando una prórroga del plazo porque la agencia está pidiendo la presentación de más de 100 categorías diferentes de información que abarcan varios años. MGM cree que gran parte de la información solicitada es irrelevante para el ciberataque.

La demanda, presentada el 14 de junio, también solicita el reembolso de los costos judiciales y otros daños que el tribunal identifique.

Ciberataque de septiembre

El incidente comenzó en septiembre, cuando los sistemas informáticos de MGM fueron atacados por hackers de los que se creía que eran un grupo internacional con vínculos nacionales que pedían el pago de un rescate.

A instancias de los investigadores federales, MGM se negó a pagar el rescate.

Durante el incidente, cientos de máquinas tragamonedas quedaron inoperativas, los clientes no pudieron acceder a sus habitaciones con sus teléfonos inteligentes y los sistemas de pago con tarjeta de crédito se interrumpieron, lo que obligó a procesar manualmente las transacciones con tarjeta de crédito.

Entre los huéspedes se encontraban Khan y un ayudante, que estaban en Las Vegas para asistir a una conferencia.

El 15 de septiembre, Bloomberg reportó que Khan y el asistente cuestionaron los procedimientos que MGM estaba tomando durante el ciberataque.

“Cuando Khan y su equipo llegaron al principio de la fila, un empleado del mostrador les pidió que anotaran los datos de su tarjeta de crédito en un papel”, dice la demanda. “Mientras la responsable de la agencia federal que, entre otras cosas, vela por que las empresas protejan los datos de los consumidores anotaba sus datos, Khan preguntó al trabajador: ¿Cómo gestionaba exactamente MGM la seguridad de los datos en torno a esta situación? El empleado se encogió de hombros y dijo que no lo sabía, según un asesor sénior que viajaba con Khan y describió la experiencia a Bloomberg como surrealista”.

Cuatro meses después, el 25 de enero, la FTC presentó su CID.