MGM Resorts demanda a la FTC y a su presidenta por investigación de ciberataque
Actualizado April 16, 2024 - 10:41 am
MGM Resorts International presentó el lunes una demanda contra la Comisión Federal de Comercio (FTC) y su máxima responsable, la presidenta Lina M. Khan, alegando que la dependencia infringió el derecho de la empresa al debido proceso de la Quinta Enmienda mientras investigaba un ciberataque contra la empresa en septiembre.
En la demanda de cuatro cargos, MGM también alega que la FTC no siguió sus propias directrices sobre conflictos de interés.
La demanda judicial, presentada ante el Tribunal de Distrito Federal para el Distrito de Columbia, busca una orden judicial para impedir que la FTC busque una solicitud de investigación civil (CID) en su indagatoria de MGM relacionada con el ciberataque a menos que Khan se descalifique del asunto. La solicitud es una citación administrativa que permite a las dependencias federales pedir grandes cantidades de información a empresas privadas sin pasar por los procedimientos judiciales.
Un representante de la FTC dijo el lunes que la dependencia no tenía comentarios sobre la demanda judicial.
Esta demanda alega que Khan y un asesor de alto nivel tienen un conflicto de interés porque eran huéspedes del MGM Grand cuando se estaba desarrollando el año pasado el ciberataque, que costó a la empresa unos 100 millones de dólares.
MGM afirma que la publicidad de la experiencia de Khan desencadenó 15 demandas colectivas de consumidores contra MGM. La empresa quiere que Khan sea descalificada porque pudiera ser testigo en el asunto.
MGM también pidió al tribunal que declare inconstitucionales las normas de la FTC sobre recusación y dictamine que la empresa no es una institución financiera y, por lo tanto, no debe estar sujeta a las normas de la FTC destinadas a prevenir el robo de identidad y mantener segura la información de los clientes.
Normas y ‘marcadores’
La FTC considera que MGM está sujeta a esas normas porque la empresa emite “marcadores” a los jugadores con grandes apuestas. El juego con marcadores representa un pequeño porcentaje del juego de azar en el casino, y las empresas de juego dicen que es el equivalente a que un jugador juegue con una cuenta y no a crédito.
La demanda judicial también busca un plazo razonable para presentar la CID si se permite a la FTC continuar su investigación. La empresa envió sin éxito una carta a la dependencia solicitando una prórroga del plazo porque la dependencia está pidiendo la presentación de más de 100 categorías diferentes de información que abarcan varios años. MGM cree que gran parte de la información solicitada es irrelevante para el ciberataque, según una carta enviada a la FTC en febrero.
La demanda judicial también solicita el reembolso de las costas judiciales y otros daños que el tribunal determine.
Los sistemas computacionales de MGM fueron atacados en septiembre por hackers que exigían el pago de un rescate. A instancias de investigadores federales, MGM se negó a pagar el rescate.
Durante el ciberataque, cientos de máquinas tragamonedas quedaron inoperativas, los huéspedes no pudieron acceder a sus habitaciones con smartphones y los sistemas de pago con tarjeta de crédito se interrumpieron, lo que obligó a procesar manualmente las transacciones con tarjeta de crédito.
Entre los huéspedes estaban Khan y un asistente, que estaban en Las Vegas para asistir a una conferencia.
El 15 de septiembre, Bloomberg informó que Khan y el asistente cuestionaron los procedimientos de MGM durante el ciberataque.
“Cuando Khan y su equipo llegaron al principio de la fila, un empleado del mostrador les pidió que anotaran los datos de su tarjeta de crédito en un papel”, dice la demanda judicial, citando el artículo de Bloomberg. “Mientras la responsable de la dependencia federal que, entre otras cosas, vela por que las empresas protejan los datos de los consumidores anotaba sus datos, Khan preguntó al empleado: ¿Cómo gestionaba exactamente MGM la seguridad de los datos en torno a esta situación? El agente de mostrador se encogió de hombros y dijo que no lo sabía, según un alto asesor que viajaba con Khan y describió la experiencia a Bloomberg como surrealista”.
CID presentada en enero
Cuatro meses después, el 25 de enero, la FTC presentó su solicitud de investigación civil.
Para MGM, la información solicitada reflejaba la experiencia de Khan en Las Vegas.
“Las voluminosas solicitudes planteadas por la CID siguen de cerca los acontecimientos relacionados con la presidenta Khan, y algunas de ellas parecen derivarse directamente de la experiencia personal de la presidenta Khan en las transacciones comerciales con MGM durante el ataque”, dice la demanda judicial.
MGM mantuvo conferencias telefónicas con la oficina de campo de la FTC en Los Ángeles en las semanas siguientes, y el 20 de febrero MGM presentó una petición para anular o modificar la CID. A la empresa se le concedieron 11 días para recopilar los datos solicitados.
A continuación, la empresa presentó una petición de recusación de Khan de los procedimientos.
El 1 de abril, la comisión emitió una única orden denegando ambas peticiones. La comisión afirma que su Reglamento de Procedimientos no permite la recusación de los miembros de la comisión, salvo en litigios administrativos.
“Esta negativa categórica a atender las peticiones de recusación o descalificación –incluso en casos extremos como este– infringe la Cláusula del Debido Proceso de la Quinta Enmienda”, dice la demanda judicial.