El hackeo de casinos estuvo en la mente de los reguladores de Nevada en 2022

Fue casi como si los reguladores de Nevada anticiparan los problemas cibernéticos en diciembre, cuando aprobaron las revisiones del Reglamento 5 que llaman a planes para hacer frente a los ciberataques contra las empresas de casino.

Los titulares de licencias de Nevada tienen hasta el 31 de diciembre para entregar evaluaciones de riesgos de sus operaciones comerciales y desarrollar mejores prácticas de ciberseguridad.

Pero a finales de agosto, pandillas de hackers que se identificaban como Scattered Spider y ALPHV irrumpieron en los sistemas informáticos de Caesars Entertainment Inc. y el 10 de septiembre en los de MGM Resorts International.

Mientras que Caesars pagó un rescate multimillonario y no perdió ni un golpe operativo, MGM no lo hizo, y la empresa sufrió nueve días de caos operativo al caerse varios sistemas informáticos, lo que le costó millones.

El sitio web de la empresa y los motores de reserva de habitaciones de hotel fueron atacados, la aplicación MGM usada por los clientes para entrar en sus habitaciones de hotel estaba fuera de línea. Los sistemas de reserva de restaurantes y atracciones fallaron. La empresa, temiendo un daño mayor a sus sistemas, desconectó las máquinas tragamonedas conectadas en red y tuvo que pagar a los ganadores manualmente, en lugar de hacerlo a través del sistema de ticket in-ticket out de las máquinas, que produce vales que pueden canjearse por dinero en efectivo o insertarse en otras máquinas.

Los 10 resort de MGM en Las Vegas y sus otros resorts en Estados Unidos no podían procesar transacciones con tarjeta de crédito, los cajeros automáticos de los casinos estaban fuera de línea y su acceso a los estacionamientos de pago estaba comprometido. El correo electrónico de la empresa tampoco funcionaba.

Los clientes que han escrito correos electrónicos y han llamado al Review-Journal dicen que temen que sus datos personales hayan quedado expuestos.

Demandas presentadas

Los consumidores ya han empezado a prestar atención, presentando demandas colectivas -contra MGM y Caesars- ante el Tribunal de Distrito de Estados Unidos en Las Vegas.

Clientes de casinos de Illinois, Colorado, Mississippi y Luisiana han presentado demandas por daños y perjuicios no especificados. Ninguna de las empresas hizo comentarios sobre las demandas.

En los días transcurridos desde el ataque, la empresa ha reportado una vuelta gradual a la normalidad. El lunes, la empresa dijo que se podía acceder a los sitios web y que el correo electrónico de la empresa estaba disponible.

En la reunión del jueves de la Comisión del Juego de Nevada, el comisionado Brian Krolicki se mostró esperanzado de que se pudiera reportar públicamente lo ocurrido a MGM y Caesars. Desde entonces, no ha habido más reportes regulatorios, y los comisionados han declinado hacer comentarios. Pero Krolicki señaló el plazo que figura en el Reglamento 5.

“Una entidad cubierta que experimente un ciberataque a su sistema de información que resulte en una pérdida material de control, compromiso, divulgación no autorizada de datos o información, o cualquier otro suceso similar, deberá notificar por escrito el ciberataque a la junta tan pronto como sea posible, pero a más tardar 72 horas después de tener conocimiento del ciberataque”, dice la regulación.

“Previa solicitud, la entidad cubierta proporcionará a la Junta información específica sobre el ciberataque, se presentará, o hará que un tercero se presente, una investigación sobre el ciberataque, preparará un informe que documente los resultados de la investigación, notificará a la Junta la finalización del informe y pondrá el informe a disposición de la Junta para su revisión previa solicitud. El reporte debe incluir, sin límite, la causa raíz del ciberataque, el alcance del ciberataque, y cualquier acción tomada o planeada para prevenir eventos similares que permitieron que el ciberataque ocurriera y notificar al consejo cuando cualquier investigación o acción similar tomada por una entidad externa a la entidad cubierta haya sido completada y poner los resultados de dicha investigación o acción similar a disposición del consejo a solicitud”.

Taller técnico

Un portavoz de la Junta de Control dijo el martes que en un taller sobre modernización de la tecnología del juego programado para el miércoles por la tarde no se abordarían los incidentes de MGM o Caesars.

Pero podría ser el tema a tratar cuando los participantes discutan los dispositivos de juego, los equipos asociados, los sistemas de apuestas sin dinero en efectivo y los procesos que podrían dar lugar a un despliegue más eficaz de los proyectos de tecnología del juego y el debate sobre la tecnología avanzada.

No está claro solo por cuánto tiempo afectaría el ataque a MGM al negocio, pero un experto en ciberseguridad con sede en Nueva York dijo que cree que la falta de confianza del público en MGM podría desalentar las estancias en las propiedades de MGM antes del Super Bowl en el Allegiant Stadium en febrero.

“Dan Draper, fundador y director ejecutivo de CipherStash, una empresa dedicada a evitar que se produzcan filtraciones de datos, afirma: “Los efectos prácticos a corto plazo son obvios: la gente no pudo reservar alojamiento durante un tiempo.

“No cabe duda de que el hecho de no estar conectado durante un periodo de tiempo habría provocado la pérdida de varias reservas. “Pero creo que la cuestión más importante aquí es el efecto o el impacto que la filtración tendrá en la confianza del consumidor. Y creo que esto solo amplifica lo que yo veo como una tendencia en curso en la desconfianza del consumidor sobre cómo se gestionan sus datos”.

Impacto de las filtraciones

Dado que las filtraciones han afectado a las dos mayores empresas turísticas de Las Vegas, Draper afirma que es posible que Las Vegas en su conjunto sienta el impacto.

“Probablemente no se llegue al punto de que un número significativo de personas deje de venir a Las Vegas, pero sí creo que va a tener un efecto en la cantidad de dinero que gastan y en el tipo de alojamiento que eligen”, dijo. “Y una vez más, si no facilitan sus datos personales o son mucho más cautelosos a la hora de facilitarlos a distintos proveedores, yo diría que la cuota de cartera se reduciría”.

Los comentarios de Draper reflejan algunas de las observaciones realizadas la semana pasada por Brendan Bussmann, de B Global, con sede en Las Vegas, quien afirmó que MGM necesita estar a la altura de las circunstancias con varios grandes eventos en el horizonte cercano.

Con el Grand Prix de Las Vegas de Fórmula Uno de noviembre, National Finals Rodeo de diciembre, la convención CES de enero y el Super Bowl LVIII de febrero en el horizonte, Bussmann dijo que es fundamental para MGM recuperarse del ataque.

“En los próximos seis meses se avecina una apretada agenda de MICE (reuniones, incentivos, conferencias y exposiciones), deportes y otros eventos clave, por lo que queda poco tiempo para que todo vuelva a funcionar a pleno rendimiento y, al mismo tiempo, seguir evaluando la mejor manera de abordar lo ocurrido en el futuro”, afirmó. “Aunque todavía puede haber efectos persistentes entre bastidores, el espectáculo debe continuar y MGM Resorts hará lo necesario para que todo siga funcionando”.