MGM Resorts International presentó recientemente una demanda contra la Comisión Federal de Comercio (FTC) de Estados Unidos y su presidenta, Lina M. Khan. La empresa alega que la entidad infringió su derecho al debido proceso de la Quinta Enmienda durante la investigación de un ciberataque sufrido en septiembre de 2023.
En la demanda de cuatro cargos, MGM también sostiene que la FTC no siguió sus propias directrices sobre conflictos de interés. La demanda judicial, presentada ante el Tribunal de Distrito Federal para el Distrito de Columbia, busca una orden judicial para impedir que la FTC busque una solicitud de investigación civil (CID) en su indagatoria de MGM relacionada con el ciberataque a menos que Khan se descalifique del asunto.
La demanda fundamenta que Khan y un asesor de alto nivel tienen un conflicto de interés porque eran huéspedes del MGM Grand el 15 de septiembre, cuando se estaba desarrollando el ciberataque, que costó a la empresa unos 100 millones de dólares.
Reportes periodísticos sobre lo ocurrido ese día indicaron que, como los sistemas de TI estaban caídos, un miembro del personal pidió a funcionaria y a su personal que anotaran su información de tarjeta de crédito en un papel. La investigación de la FTC se inició después de este episodio.
MGM afirmó que la publicidad de la experiencia de Khan desencadenó 15 demandas colectivas de consumidores en su contra.
El grupo empresarial también pidió al tribunal que declare inconstitucionales las normas de la FTC sobre recusación y dictamine que la empresa no es una institución financiera y, por ello, no debe estar sujeta a las normas de la FTC destinadas a prevenir el robo de identidad y mantener segura la información de los clientes.
¿CÓMO FUE EL CIBERATAQUE CONTRA MGM?
Un grupo de piratas informáticos llamado Scattered Spider se atribuyeron los ataques de ransomware los sistemas de MGM el 11 de septiembre. El grupo también amenazó con más intrusiones a los sistemas de la compañía si no cumplía con las demandas de un pago cuyo monto se desconoce.
La negativa de MGM a pagar un rescate a unos hackers contrasta con la de Caesars Entertainment. Medios estadounidenses informaron que este último pagó aproximadamente 15 millones de dólares al mismo grupo después de que éste amenazara con revelar datos confidenciales de sus clientes.
Pero volviendo al ciberataque generalizado contra MGM Resorts International, este tuvo un impacto significativo en las operaciones del grupo. Los clientes tuvieron que esperar horas para registrarse y se paralizaron los pagos electrónicos, las tarjetas digitales, las máquinas tragamonedas, los cajeros automáticos y los sistemas de pago de los estacionamientos.
Además, los sistemas informáticos quedaron inaccesibles y afectó a los clientes que intentaban acceder al sitio web de MGM Resorts. Las máquinas de juego de casino mostraban mensajes de error, y los sistemas de reservación y de pago en línea también quedaron cancelados.
El ciberataque causó una interrupción generalizada en todas las propiedades de MGM, incluyendo sus hoteles y casinos emblemáticos como el Bellagio, el Mandalay Bay y el Cosmopolitan.
El 20 de septiembre, MGM Resorts International anunció que sus 19 instalaciones de juego en Estados Unidos estaban “abiertas y funcionando con normalidad”, aunque reconoció que aún intentaban “normalizar las operaciones” en su casino Excalibur en Las Vegas.
Las operaciones de MGM Resorts International se reanudaron completamente 10 días después del ciberataque. La compañía no reveló información sobre el alcance de la violación de datos, incluyendo los costos inmediatos en los que incurrió mientras luchaba por recuperar el control de sus sistemas.
