Abogado de violación de datos de MGM

¿Qué es el ataque cibernético de MGM de 2023?

MGM Resorts, uno de los operadores de casinos más grandes del mundo, sufrió un ataque cibernético que interrumpió sus operaciones y robó datos de clientes durante varios días a principios de septiembre de 2023 (fuente). El ataque afectó a algunas de las propiedades más emblemáticas del Strip de Las Vegas, como el Bellagio, el Cosmopolitan y el Mandalay Bay, así como a otros resorts de MGM en Estados Unidos. Los huéspedes informaron problemas con máquinas tragamonedas, cajeros automáticos, tarjetas de llave digital, sistemas de pago electrónico y reservas en línea. La compañía tuvo que recurrir al uso de papel y lápiz para algunas transacciones y renunció a las tarifas de cambio y cancelación para reservas afectadas.

El ataque cibernético fue lo que los expertos llaman un “ataque de ransomware”, lo que significa que los hackers obtuvieron el control total sobre los sistemas informáticos y no lo liberarían a menos que la compañía pagara un rescate a los atacantes. Según se informa, MGM se negó a pagar este rescate (fuente), lo que resultó en que la compañía tuviera que pagar más de 10 millones de dólares a consultores de TI para solucionar el problema. En total, incluyendo la pérdida de ventas y demandas, se espera que MGM pierda más de 100 millones de dólares debido al ataque.

¿Quién atacó a MGM?

Según TechCrunch, un grupo de hackers conocido como Scattered Spider se atribuyó la responsabilidad del ataque cibernético a MGM. Se cree que Scattered Spider es un subgrupo de la banda de ransomware ALPHV, que ha estado activa desde 2020 y se dirige a grandes organizaciones con malware sofisticado que cifra sus datos y exige un pago para su liberación. Se ha descubierto que la mayoría de los miembros del grupo de hackers residen en Rusia.

También se sospecha que Scattered Spider está detrás de un reciente ataque cibernético a otro gigante hotelero y de casinos, Caesars Entertainment, que supuestamente pagó aproximadamente la mitad de los 30 millones de dólares de rescate exigidos por los hackers para evitar la divulgación de datos robados. Caesars confirmó que los hackers robaron su base de datos de programas de lealtad, que incluía información personal de millones de clientes.

¿Cómo hackeó Scattered Spider a MGM?

No se conocen exactamente los detalles de cómo Scattered Spider hackeó a MGM, pero los investigadores de seguridad tienen algunas pistas basadas en los ataques anteriores del grupo. Según Ars Technica, Scattered Spider utiliza llamadas telefónicas fraudulentas a empleados y servicios de ayuda para “pescar” credenciales de inicio de sesión. Luego, los hackers utilizan estas credenciales para acceder a la red y desplegar su ransomware.

Esta técnica se conoce como vishing, o phishing de voz, y se basa en la ingeniería social y las habilidades de suplantación de identidad para engañar a víctimas desprevenidas y obtener información confidencial. Se ha sabido que Scattered Spider se hace pasar por personal de TI, proveedores o socios de la organización objetivo y utiliza números de teléfono falsificados para que sus llamadas parezcan legítimas.

¿Ha sido hackeado MGM antes?

Sí, MGM ha sido hackeado antes. En 2019, MGM Resorts sufrió una violación de datos que expuso información personal de hasta 10,6 millones de clientes, incluidas celebridades, periodistas y funcionarios gubernamentales. Los datos robados incluían nombres, números de teléfono, direcciones de correo electrónico y fechas de nacimiento. Los hackers luego publicaron los datos en línea para que cualquiera los descargara (fuente).

MGM Resorts dijo en ese momento que notificó a los clientes afectados y les ofreció servicios gratuitos de monitoreo de crédito. La compañía también dijo que había “fortalecido y mejorado” sus medidas de seguridad desde el ataque de 2019.

¿Cómo fueron afectados los huéspedes por el hackeo de MGM Resorts?

Los huéspedes fueron afectados por MGM Resorts de diversas maneras, dependiendo de la propiedad en la que se alojaron y los servicios que utilizaron. Algunos de los problemas comunes reportados por los huéspedes fueron:

• Máquinas tragamonedas y cajeros automáticos que no funcionaban o no dispensaban efectivo
• Tarjetas de llave digital que no abrían las habitaciones del hotel
• Sistemas de pago electrónico que no aceptaban tarjetas de crédito
• Reservas en línea no disponibles o confirmadas
• Servicio de televisión y líneas telefónicas caídos en las habitaciones del hotel
• Casas de apuestas cerradas o que no aceptaban apuestas
• Colas largas en los mostradores de check-in, restaurantes y bares
• Transacciones en efectivo solamente en algunos lugares
• Uso de papel y lápiz para algunas transacciones

Algunos huéspedes expresaron frustración y decepción con la situación, mientras que otros fueron más comprensivos y solidarios. Algunos huéspedes también elogiaron al personal por su profesionalismo y ayuda durante el corte de energía.

¿Se robó alguna información de los clientes en el hackeo de datos de MGM Resorts en 2023?

Según un comunicado de prensa de MGM Resorts, la información afectada incluía nombre, información de contacto, género, fecha de nacimiento y número de licencia de conducir de algunos de sus clientes que utilizaron los servicios de MGM antes de marzo de 2019. Para un número limitado de clientes, también se vieron afectados el número de Seguro Social y/o el número de pasaporte. La compañía dijo que no tiene evidencia de que los hackers hayan utilizado estos datos para cometer robo de identidad o fraude de cuentas. El ciberataque también causó una pérdida de $100 millones en los resultados del tercer trimestre de la compañía, ya que tuvo que cerrar ciertos sistemas y restaurar sus operaciones. El FBI está investigando el ataque, que se cree que comenzó con un ataque de ingeniería social en el servicio de asistencia técnica de la compañía.

¿Qué esperan lograr las demandas al demandar a MGM Resorts?

Las soluciones en las demandas colectivas por violación de datos generalmente incluyen los siguientes tipos de compensación:

• Reembolso de pérdidas por fraude para los consumidores que experimentaron robo de identidad real;
• Reembolso de costos indirectos incurridos, como tarifas de monitoreo de crédito, tarifas de informes de crédito o tarifas de congelación de crédito que los consumidores gastaron para protegerse;
• Compensación por el tiempo dedicado a responder a la violación (por ejemplo, $20 por hora por hasta cinco horas); y
• Monitoreo de crédito gratuito y seguro contra robo de identidad durante varios años más allá de la oferta inicial del demandado cuando se anunció la violación.

Los demandados también generalmente acuerdan realizar mejoras en sus sistemas de seguridad de datos como parte de los acuerdos de demandas colectivas. Estamos buscando estos tipos de soluciones en la demanda colectiva. Sin embargo, no hay garantía de que se logren estas u otras soluciones en la litigación. De todos modos, la firma de abogados J&Y tiene un historial de éxito en responsabilizar a las organizaciones que no protegen adecuadamente los datos de sus clientes.

¿Qué hacer si fue afectado por el hackeo?

En este momento, al menos 10 demandas han sido presentadas contra MGM Resorts por su papel en la violación de datos. La firma de abogados J&Y en Los Ángeles, CA es una de las firmas que actualmente está demandando a MGM Resorts y está buscando que los clientes afectados se unan a la demanda colectiva. Si ha sido afectado por el hackeo de MGM Resorts de septiembre de 2023, llame a la firma de abogados J&Y de inmediato para aprender cómo puede unirse a la demanda y luchar para obtener una compensación por el increíble riesgo al que ha sido expuesto. Llame a la firma de abogados J&Y al (877) 596-6061 para hablar con un abogado de inmediato y comenzar el proceso de recuperar su identidad.