Los problemas de ciberseguridad de MGM Resorts podrían detallarse en próxima comunicación a la SEC

Una regla recientemente reglamentada por la Comisión de Bolsa y Valores (SEC) pronto podría arrojar luz sobre el incidente de ciberseguridad de MGM Resorts International que está causando problemas en sus propiedades en todo el país.

La SEC exige ahora a las empresas que cotizan en bolsa que revelen los incidentes de ciberseguridad que consideren “materiales” -es decir, que un accionista los considere importantes a la hora de tomar una decisión de inversión- en una declaración especial, según una regla adoptada el 26 de julio y en vigor desde el 5 de septiembre.

La notificación debe incluir la naturaleza, el alcance, el momento y el impacto del incidente. Por lo general, se espera que se presente en un plazo de cuatro días hábiles después de que la empresa determine que el incidente es material, según la SEC, pero podría retrasarse si una divulgación inmediata supusiera un “riesgo sustancial para la seguridad nacional o la seguridad pública”.

John T. Moran III, abogado especializado en juegos de Clark Hill, dijo que la regla ampliada “cambia el juego” para las empresas porque establece requisitos para problemas significativos de ciberseguridad.

“Demuestra lo omnipresente que puede ser este daño”, dijo Moran. “Es un daño palpable, pero no es de naturaleza física. Pero puede ser muy peligroso”.

La sentencia también regula la obligación de reportar en un informe anual cómo las empresas que cotizan en bolsa evalúan y gestionan los riesgos derivados de las amenazas de ciberseguridad.

“Que una empresa pierda una fábrica en un incendio -o millones de archivos en un incidente de ciberseguridad- puede ser material para los inversionistas”, dijo el presidente de la SEC, Gary Gensler, en un comunicado de prensa anunciando los cambios. “En la actualidad, muchas empresas públicas informan a los inversores sobre la ciberseguridad. Sin embargo, creo que tanto las empresas como los inversores se beneficiarían si esta divulgación se hiciera de una manera más coherente, comparable y útil para la toma de decisiones”.

MGM Resorts dijo el lunes que la compañía estaba trabajando para recuperarse de un “problema de ciberseguridad” que afectó a las transacciones de tarjetas de crédito y otros sistemas informáticos a través de sus hoteles-casinos en todo el país. Los sitios web de la empresa seguían sin funcionar el martes por la tarde, y los clientes que querían reservar hotel debían llamar por teléfono a los establecimientos porque el sistema en internet no funcionaba.

Entre los hoteles de Las Vegas se encuentran MGM Grand, The Cosmopolitan of Las Vegas, Bellagio, Park MGM, Delano, Excalibur, Luxor, Mandalay Bay, Aria y New York-New York.

Hasta ahora, la empresa no ha revelado el alcance de los problemas de ciberseguridad. No lo han llamado ciberataque, pero han reportado el asunto a las autoridades, lo que sugiere que es posible.

Los observadores del sector afirman que una revelación formal por parte de MGM, que cotiza en la Bolsa de Nueva York, permitirá comprender mejor el problema.

“A primera vista, parece que se trata de un ataque de amplio alcance a su tecnología”, declaró Josh Swissman, director gerente de GMA Consulting, con sede en Las Vegas. “Será interesante ver en esta revelación si fue tan amplio como parecía o si lo hicieron por exceso de precaución”.

Otros dicen que esto puede servir de ejemplo. A medida que las amenazas de ciberseguridad se vuelven cada vez más comunes -el servidor en la nube de MGM fue hackeado en 2019-, las grandes empresas tienen que fortalecer constantemente sus protocolos de seguridad, dijo Brendan Bussmann, socio gerente de B Global.

“Creo que tenemos que averiguar cómo sucedió esto y, como industria, cómo podemos mejorar para lidiar con estos”, dijo Bussmann. “No es la primera vez y tampoco será la última”.