MGM Resorts International está tratando de anular una solicitud de la Comisión Federal de Comercio (FTC) para obtener información sobre ciberataque del pasado otoño, diciendo que la solicitud es extralimitada y contraria a los esfuerzos de la compañía para ayudar a los investigadores de seguridad federales.
La empresa de casinos con sede en Las Vegas –la mayor empleadora del estado– presentó la petición para anular o limitar la “demanda de investigación civil” (CID) de la FTC el 20 de febrero. La FTC busca cientos de páginas de datos que, según MGM, son irrelevantes para el caso y que teme que puedan ser perjudiciales para la investigación del FBI sobre la autoría del ataque que paralizó los sistemas computacionales de MGM durante nueve días a partir del 10 de septiembre.
El caso se complica por los informes de que la presidenta de la FTC, Lina Khan, y un alto asesor anónimo eran huéspedes del MGM Grand y asistían a una conferencia en Las Vegas en el momento en que se estaba llevando a cabo el ciberataque. El registro de Khan en el hotel se vio afectado por el ataque, y la asesora contó a los medios que tuvo que escribir a mano números de tarjetas de crédito durante el registro.
Un representante de la FTC no hizo comentarios sobre la presentación judicial y dijo que, en general, la FTC no hace comentarios sobre investigaciones en curso.
Funcionarios de MGM emitieron una declaración por correo electrónico el viernes por la tarde: “Hemos trabajado estrechamente con las fuerzas de seguridad federales desde el principio de nuestro incidente cibernético y, de acuerdo con sus directrices, nos negamos a pagar un rescate a los delincuentes internacionales que perpetraron este acto. Estamos muy decepcionados por ser ahora objeto de esta investigación de la FTC, que pudiera no haber ocurrido si hubiéramos tomado el camino fácil y pagado el rescate”.
La petición a la FTC detalla varias razones por las que la empresa pretende anular la solicitud.
La FTC solicitó inicialmente “montones de documentos e información” a MGM el 25 de enero.
“La CID exige la presentación de más de 100 categorías diferentes de información, abarca varios años sin relevancia para el ataque y, quizás lo más problemático de todo, representa un intento sin precedentes por parte del personal (de la FTC) de invocar la Regla de Salvaguardias y la Regla de Alertas, que no se aplican a las operaciones de MGM”, dice la petición.
La “Regla de Alertas” exige a las instituciones financieras y a los acreedores que creen un programa escrito de prevención del robo de identidad diseñado para identificar, detectar y responder a las “alertas” que indiquen un posible robo de identidad. La “Regla de Salvaguardias” exige a las empresas cubiertas que elaboren, apliquen y mantengan un programa de seguridad de la información.
MGM se reunió con la FTC el 6 de febrero y solicitó una prórroga del plazo para cumplir su petición de información.
La FTC se negó.
El 13 de febrero, MGM envió una carta detallada en relación con la solicitud de la FTC y una semana más tarde emitió su petición formal de anulación.
MGM alega que, aunque emite “marcadores” a los jugadores de grandes apuestas, no está sujeta a las normas impuestas a las instituciones financieras. La ley de Nevada dice que los “marcadores”, que dan a los jugadores más importantes de un casino la posibilidad de apostar en una cuenta, son similares a la aceptación de cheques personales posfechados.
La empresa afirma que los marcadores rara vez se emiten y representan una fracción de la cantidad que se juega habitualmente en los casinos.
MGM también afirma en su petición que ha cooperado plenamente con las fuerzas de seguridad federales, incluso siguiendo su consejo de no pagar el rescate exigido por los hackers.
“La CID corre el riesgo de poner en peligro esos esfuerzos y coloca injustamente a MGM en una posición arriesgada y altamente perjudicial porque abarca información relacionada con estas investigaciones criminales”, dice la petición. “Claramente, la petición desincentiva la cooperación con las fuerzas del orden por parte de empresas sujetas a ciberataques u otros delitos”.
La FTC no proyectó cuánto tiempo pudiera tardar en considerar la petición de MGM. Pero otros casos de solicitudes de anulación de una CID han tardado meses en resolverse. MGM también pudiera recurrir la decisión ante los tribunales.