El ciberataque a MGM
El ciberataque a MGM

El ciberataque a MGM Resorts: lo que necesita saber (y lo que significa para su estrategia de gestión de riesgos)

Vivian Susko |

Esta misma semana, la hosteleríala empresa de casinos y entretenimiento MGM Resorts informó de un ciberataque a gran escala que afectó a sus sistemas operativos, provocando paradas en todas las plantas del casino, sistemas de reservas, sistemas de correo electrónico, etc. Incluso los sistemas de tarjetas electrónicas del hotel dejaron de funcionar, dejando a muchos huéspedes fuera de sus habitaciones. 

El ataque afectó a un puñado de establecimientos de MGM en Estados Unidos, además de a algunos de sus casinos más conocidos en Las Vegas, como el Mandalay Bay, el Cosmopolitan y el Bellagio. Y aunque los casinos vuelven a estar en línea, los sistemas de reservas de la empresa siguen sin funcionar más de un día después de que se informara inicialmente del incidente. 

Pero, aunque este atentado haya sorprendido a muchos, ¿se veía venir? ¿Podemos esperar que se trate de un incidente aislado? Profundicemos en el tema.

Dentro del ciberataque a MGM: ¿cuál es el impacto?

Desde la primera detección del ciberataque en la noche del domingo 10 de septiembre, la organización ha puesto en marcha una investigación con ayuda de destacados expertos externos en ciberseguridad.

ciberataque a los complejos MGM

"Rápidamente comenzamos una investigación," MGM informó el lunes en X (antes Twitter). "También notificamos a las fuerzas del orden y tomamos medidas rápidas para proteger nuestros sistemas y datos, incluido el cierre de ciertos sistemas".

Al parecer, los piratas informáticos utilizaron información de LinkedIn para hacerse pasar por un empleado y manipular información confidencial de otro.

El FBI ha informado de que tiene conocimiento del incidente y de que la investigación está en curso. Mientras tanto, he aquí un vistazo a las consecuencias: 

  • El sitio web de MGM ha sido sustituido por una página temporal en la que se aconseja a los visitantes que se pongan en contacto directamente por teléfono con sus hoteles o casinos.
  • Los sistemas de reservas de MGM siguen sin funcionar 
  • Las acciones de MGM cerraron el lunes con una caída de casi el 2,4%

Como se demuestra en este escenario, los ciberataques no sólo afectan al tiempo de inactividad de una organización, sino que también tienen un impacto directo en la forma en que los inversores y los clientes interactúan con su empresa.) Por eso -incluso en medio de presupuestos ajustados y retos de personal- nunca ha sido más importante alinee su hoja de ruta para la gestión del riesgo cibernético con los objetivos principales de su organización (y sus resultados). También es la razón por la que las organizaciones están recurriendo a tecnología nativa de la nube y basada en la automatización (como Alyne de Mitratech) para conseguir por la vía rápida una mayor visibilidad y confianza para sus partes interesadas con capacidades de supervisión, cuantificación e información continuas.

Ciberataques contra el comercio minorista, la hostelería y la restauración: no es una preocupación nueva, pero evoluciona

Este no es el primer incidente de ciberseguridad que registra MGM; hace apenas tres años, en 2020, más de 10 millones de visitantes de MGM sufrieron la filtración de sus datos confidenciales en un foro de hacking. Y otras cadenas hoteleras han experimentado las mismas frustraciones. La cadena hotelera Marriott reveló hace aún más tiempo una violación masiva que expuso los datos de casi 500 millones de clientes en 2018

Y la hostelería no es el único sector que corre el riesgo de sufrir estos ataques. Pulso mensual de amenazas de marzo de 2023 informó recientemente de un aumento de 91% en ataques de ransomware en marzo de 2023 en comparación con febrero de 2023 y un aumento de 62% año tras año en comparación con los datos de marzo de 2022.

La realidad es: cualquier organización o industria que maneje datos confidenciales y privados (que es.... casi todas) corre un mayor riesgo de sufrir un ciberataque o una brecha en el entorno cibernético actual. 

Sigue existiendo una clara brecha de agilidad entre los malos actores actuales y el sistema de gestión de riesgos de una empresa. Como explicó Bob Maley, CISO de Black Kite Technology, en un webinar reciente (y en nuestro último eBook), los malos actores son más ágiles que las organizaciones a la hora de "observar, orientar, decidir y actuar". Por lo tanto, la gestión de riesgos debe convertirse en un proceso siempre en movimiento, y las empresas deben tratar la idea de riesgo no tanto como un incidente aislado e inesperado que puede ocurrir en un momento determinado, sino más bien como parte del tejido de un entorno continuo y en constante cambio que requiere una vigilancia constante. 

Cómo pasar de una gestión de riesgos reactiva a una resiliente, y cómo medirla

Para ampliar su estrategia de riesgos y convertirla en un proceso que pueda mejorar (y medir) de forma continua y constante, necesitará incorporar a más personas de su organización, compartir constantemente nueva información a medida que esté disponible y mantenerse ágil con tecnología basada en la automatización.  

La clave del éxito estrategia de gestión de riesgos implica un cambio de mentalidad, en el que las amenazas ya no se consideran sorpresas, sino acontecimientos esperados que afectan a todas las empresas. Para afrontar este cambio, las empresas estratégicas emplean tecnologías de gestión de riesgos que combinan el aprendizaje automático con una vigilancia constante para ayudar a los usuarios a identificar, mitigar y notificar los riesgos. 

Busca tecnología que pueda ayudarte:

  • Identificar y mitigar los riesgos de forma proactiva 
  • Supervisar continuamente
  • Cuantificar los riesgos mediante un motor de simulación integrado 
  • Informe sobre nuevos modelos de riesgo 
  • Aprovechar las evaluaciones de riesgos cibernéticos 
  • Alinear los marcos normativos para el cumplimiento 
  • Extender las prácticas a terceros

Mejore su programa de GRC hoy mismo.

Póngase en contacto con nuestro equipo si tiene alguna pregunta, programe una demostración u obtenga más información sobre las soluciones GRC de Mitratech.