El ciberataque a MGM Resorts: lo que necesita saber (y lo que significa para su estrategia de gestión de riesgos)

Vivian Susko | 13 de septiembre de 2023

Esta misma semana, la hospitalidadcasino y entretenimiento MGM Resorts informó de un ciberataque a gran escala que afectó a sus sistemas operativos, causando paradas en todos sus casinos, sistemas de reservas, sistemas de correo electrónico, etc. Incluso los sistemas de tarjetas electrónicas de los hoteles dejaron de funcionar, dejando a muchos huéspedes fuera de sus habitaciones.

El ataque afectó a un puñado de propiedades de MGM en Estados Unidos, además de a algunos de sus casinos más conocidos en Las Vegas, como el Mandalay Bay, el Cosmopolitan y el Bellagio. Y aunque los casinos vuelven a estar en línea, los sistemas de reservas de la empresa siguen sin funcionar más de un día después de que se informara inicialmente del incidente.

Pero, aunque este atentado haya sorprendido a muchos, ¿se veía venir? ¿Podemos esperar que se trate de un incidente aislado? Profundicemos en el tema.

Dentro del ciberataque a MGM: ¿cuál es el impacto?

Desde la primera detección del ciberataque en la noche del domingo 10 de septiembre, la organización ha puesto en marcha una investigación con ayuda de destacados expertos externos en ciberseguridad.

"Rápidamente comenzamos una investigación", informó MGM el lunes en X (antes Twitter). "También notificamos a las fuerzas de seguridad y tomamos medidas rápidas para proteger nuestros sistemas y datos, incluido el cierre de ciertos sistemas".

Al parecer, los piratas informáticos utilizaron información de LinkedIn para hacerse pasar por un empleado y manipular información confidencial de otro.

El FBI ha informado de que tiene conocimiento del incidente y de que la investigación está en curso. Mientras tanto, he aquí un vistazo a las consecuencias:

El sitio web de MGM ha sido sustituido por una página temporal en la que se aconseja a los visitantes que se pongan en contacto directamente por teléfono con sus hoteles o casinos.
Los sistemas de reservas de MGM siguen sin funcionar
Las acciones de MGM cerraron el lunes con una caída de casi el 2,4

Como se demuestra en este escenario, los ciberataques no sólo afectan al tiempo de inactividad de una organización, sino que también tienen un impacto directo en la forma en que los inversores y los clientes interactúan con su empresa.) Por eso -incluso en medio de presupuestos ajustados y retos de personal- nunca ha sido más importante alinear la hoja de ruta de la gestión del riesgo cibernético con los objetivos principales (y los resultados) de la organización. También es la razón por la que las organizaciones están recurriendo a la tecnología nativa de la nube, impulsada por la automatización (como Alyne Alyne de Mitratech) de Mitratech para conseguir por la vía rápida una mejor visibilidad y confianza para sus partes interesadas con capacidades continuas de supervisión, cuantificación y elaboración de informes.

Ciberataques contra el comercio minorista, la hostelería y la restauración: no es una preocupación nueva, pero evoluciona

Este no es el primer incidente de ciberseguridad del que informa MGM; hace apenas tres años, en 2020, se filtraron los datos de propiedad de más de 10 millones de visitantes de MGM en un foro de hacking. Y otras cadenas hoteleras han experimentado las mismas frustraciones. Remontándose incluso más atrás, la cadena hotelera Marriott reveló una brecha masiva que expuso los datos de casi 500 millones de clientes en 2018.

Y la hostelería no es el único sector que corre el riesgo de sufrir estos ataques; la empresa de seguridad informática NCC Group's Pulso mensual de amenazas de marzo de 2023 informó recientemente de un aumento del 91% en los ataques de ransomware en marzo de 2023 en comparación con febrero de 2023 y un aumento del 62% año tras año en comparación con los datos de marzo de 2022.

La realidad es: cualquier organización o industria que maneje datos confidenciales y privados (que es.... casi todas) corre un mayor riesgo de sufrir un ciberataque o una brecha en el entorno cibernético actual.

Sigue existiendo una clara brecha de agilidad entre los malos actores actuales y el sistema de gestión de riesgos de una empresa. Como explicó Bob Maley, CISO de Black Kite Technology, en un seminario web reciente (y en nuestro último eBook), los malos actores son más ágiles que las organizaciones a la hora de "observar, orientar, decidir y actuar". La gestión de riesgos, por lo tanto, debe convertirse en un proceso siempre en movimiento - y las empresas necesitan tratar la idea de riesgo menos como un incidente aislado e inesperado que puede ocurrir en un punto singular en el tiempo, sino más bien como parte del tejido de un entorno continuo y en constante cambio que requiere una vigilancia constante.

Cómo pasar de una gestión de riesgos reactiva a una resiliente, y cómo medirla

Para ampliar su estrategia de riesgos y convertirla en un proceso que pueda mejorar (y medir) de forma continua y constante, necesitará incorporar a más personas de su organización, compartir constantemente nueva información a medida que esté disponible y mantenerse ágil con tecnología basada en la automatización.

La clave del éxito de una estrategia de gestión de riesgos implica un cambio de mentalidad, en el que las amenazas ya no se consideran sorpresas, sino acontecimientos esperados que afectan a todas las empresas. Para sortear este cambio, las empresas estratégicas emplean tecnologías de gestión de riesgos que combinan el aprendizaje automático con una vigilancia constante para ayudar a los usuarios a identificar, mitigar y notificar los riesgos.

Busca tecnología que pueda ayudarte:

Identificar y mitigar los riesgos de forma proactiva
Supervisar continuamente
Cuantificar los riesgos mediante un motor de simulación integrado
Informe sobre nuevos modelos de riesgo
Aprovechar las evaluaciones de riesgos cibernéticos
Alinear los marcos normativos para el cumplimiento
Extender las prácticas a terceros

Mejore su programa de GRC hoy mismo.

Póngase en contacto con nuestro equipo si tiene alguna pregunta, programe una demostración u obtenga más información sobre las soluciones GRC de Mitratech.

PONERSE EN CONTACTO

Vivian Susko

Vivian Susko es la Directora de Marketing de Contenidos para Corporate Legal (CLC) y Governance, Risk, and Compliance (GRC) en Mitratech. En estrecha colaboración con los equipos de marketing de productos y de campo, supervisa la ejecución de contenidos y la estrategia de SEO, ayudando a contar la historia de Mitratech con una voz única y poderosa.

Actualmente reside en New Hampshire. Vivian es licenciada en Empresariales y Literatura Inglesa por la Universidad de St. Lawrence, donde fue capitana durante tres años del equipo femenino de voleibol, presidenta de la ODK National Honors Society, cocuradora de TEDx en la Universidad de St. Lawrence y editora de apoyo de la revista Underground Student Research Journal. Ella todavía persigue una mezcla de periodismo y escritura creativa en su tiempo libre, publicando su primera historia corta en diciembre de 2020. Cuando Vivian no está trabajando en un borrador, se la puede encontrar cultivando un huerto (sobre todo albahaca y tomates), paseando al perro, jugando al pickleball y preparándose una taza de café demasiado cargado.

Sigue:

Centro de recursos

Centro de recursos

Centro de recursos

Centro de recursos

Centro de recursos

Centro de recursos

Centro de recursos

Centro de recursos

El ciberataque a MGM Resorts: lo que necesita saber (y lo que significa para su estrategia de gestión de riesgos)

Dentro del ciberataque a MGM: ¿cuál es el impacto?

Ciberataques contra el comercio minorista, la hostelería y la restauración: no es una preocupación nueva, pero evoluciona

Cómo pasar de una gestión de riesgos reactiva a una resiliente, y cómo medirla

Mejore su programa de GRC hoy mismo.