Una estipulación en la legislación de la Cámara de Representantes de Estados Unidos podría bloquear la investigación de la Comisión Federal de Comercio (FTC) sobre el ciberataque de septiembre que paralizó temporalmente las propiedades de MGM Resorts International.
El proyecto de ley de gastos republicano incluye una estipulación que bloquearía la investigación civil que la FTC exigió el 25 de enero a MGM para que proporcionara detalles sobre sus prácticas de seguridad de datos después de que la empresa sufriera un ataque de ransomware por parte de hackers que se cree que son un grupo internacional con vínculos nacionales. El proyecto de ley también recorta el presupuesto de la FTC en un 27 por ciento.
El ciberataque afectó a varios sistemas informáticos de MGM, como teléfonos, correo electrónico, transacciones con tarjetas de crédito, sistemas de reservas, registros en hoteles y máquinas tragamonedas, durante nueve días a partir del 10 de septiembre. La presidenta de la FTC, Lina Khan, y un asesor se alojaban en un hotel MGM de Las Vegas para asistir a una conferencia durante el incidente.
“La misión principal de este proyecto de ley es proteger la integridad de los sistemas financiero y judicial de Estados Unidos”, declaró en un comunicado el presidente del Comité de Asignaciones, el republicano de Ohio Tom Joyce.
“Con el fin de cumplir esa misión, este proyecto de ley hace recortes para evitar la extralimitación de las agencias mediante la prohibición de fondos para docenas de acciones reguladoras, tales como el bloqueo de la Comisión Federal de Comunicaciones (FCC) para regular las tarifas de banda ancha, la FTC para controlar cómo los estadounidenses de a pie compran un auto, y la Comisión del Mercado de Valores de Estados Unidos (SEC) para recoger y vigilar las transacciones de todos los que invierten en el mercado de valores”, dijo Joyce. “Con estas prioridades clave en el proyecto de ley, estoy orgulloso de que hayamos podido sacarlo de la comisión y llevarlo al piso de la Cámara”.
No está claro cuándo el proyecto de ley de gastos, que fue aprobado por el Comité de Asignaciones de la Cámara en junio, pasará a la Cámara en pleno para su consideración. Los republicanos del Comité rechazaron una enmienda propuesta por los demócratas que habría permitido al presidente de la FTC tomar medidas unilaterales que excedieran la autoridad estatutaria de la comisión.
Estaba previsto que el proyecto se votara esta semana, pero los líderes republicanos lo retuvieron. Para aprobar el presupuesto federal antes del 1° de octubre es necesario aprobar la ley de presupuestos.
Ciberataque a MGM
Las autoridades policiales británicas, en colaboración con el FBI, arrestaron la semana pasada a un joven de 17 años en relación con el ataque. El adolescente, no identificado, quedó en libertad bajo fianza tras ser detenido por la Unidad Regional contra el Crimen Organizado de West Midlands en Wallsal, una pequeña ciudad del centro de Inglaterra.
MGM se ha opuesto a la solicitud de información de la FTC, conocida como CID, con una demanda presentada el 15 de abril.
La demanda, presentada ante el Tribunal de Distrito de los Estados Unidos para el Distrito de Columbia, tiene cuatro pretensiones: una orden judicial que impida a la FTC solicitar una CID a menos que la presidenta de la FTC, Lina Khan, se desvincule del asunto.
La demanda se basa en el conflicto que supuso que Khan y un asistente sénior fueran invitados al MGM Grand mientras se desarrollaba en septiembre el ciberataque, que costó a la empresa unos 100 millones de dólares.
La FTC respondió el 14 de junio con una petición ante el Tribunal de Distrito de Estados Unidos en Nevada para obligar a MGM a responder a la CID.
Preocupación por la FTC
MGM ha estado preocupada por la implicación de la FTC en el caso del ciberataque desde que la agencia federal solicitó por primera vez una CID en enero. La empresa intentó negociar una ampliación del plazo, pero el 1° de abril la FTC rechazó las peticiones de la empresa, lo que dio lugar a la presentación de la demanda.
En su demanda, MGM también pidió al tribunal que declarara inconstitucionales las Reglas de Práctica de la FTC con respecto a las Peticiones de Recusación de Comisionados y que dijera que la empresa no está sujeta a dos reglas impuestas a las instituciones financieras: la llamada “Regla de Banderas Rojas” y la “Regla de Medidas de Seguridad”.
La “Regla de Banderas Rojas” exige a las empresas crear un programa escrito de prevención del robo de identidad diseñado para identificar, detectar y responder a las “banderas rojas” que indican un posible robo de identidad. La “Regla de Medidas de Seguridad” (Safeguards Rule) exige a las empresas cubiertas que desarrollen, apliquen y mantengan un programa de seguridad de la información.
La FTC considera que MGM está sujeta a esas reglas porque expide “marcadores” a los apostadores de grandes sumas. Aunque el juego con marcadores representa un pequeño porcentaje del juego en los casinos, las empresas de juego afirman que es el equivalente a que un apostador juegue a cuenta pero no a crédito.
La demanda también pedía un plazo razonable para presentar la CID si se permite a la FTC continuar su investigación. La empresa escribió una carta a la agencia en la que solicitaba sin éxito una prórroga del plazo porque la agencia solicita la presentación de más de 100 categorías diferentes de información que abarcan varios años. MGM cree que gran parte de la información solicitada es irrelevante para el ciberataque.
Khan era una huésped
El 15 de septiembre, Bloomberg reportó que Khan y el asistente cuestionaron los procedimientos que MGM estaba tomando durante el ciberataque.
“Cuando Khan y su personal llegaron a la parte delantera de la fila, un empleado en el mostrador les pidió que escribieran la información de su tarjeta de crédito en un pedazo de papel”, dijo la demanda. “Mientras la responsable de la agencia federal que, entre otras cosas, vela por que las empresas protejan los datos de los consumidores anotaba sus datos, Khan preguntó al trabajador: ¿Cómo gestionaba exactamente MGM la seguridad de los datos en torno a esta situación? El agente de recepción se encogió de hombros y dijo que no lo sabía, según un asesor del asistente sénior que viajaba con Khan y describió la experiencia a Bloomberg como surrealista”.
Para MGM, la información solicitada en la CID reflejaba la experiencia de Khan.
“Las voluminosas solicitudes planteadas por la CID siguen de cerca los acontecimientos en los que se vio implicada la presidenta Khan, y algunas de ellas parecen derivarse directamente de la experiencia personal de la presidenta en las transacciones comerciales con MGM durante el atentado”, dice la demanda de MGM.
MGM afirma que la publicidad de la experiencia de Khan desencadenó 15 demandas colectivas de consumidores contra MGM.
MGM quiere que Khan sea descalificada porque podría ser testigo en el asunto.