Este tipo de ataques contra Caesars y MGM forman parte de lo que se conoce como "big game hunting" (caza de grandes presas), donde los grupos de ransomware y sus afiliados apuntan a empresas de este tamaño que son capaces de pagar grandes rescates. Tanto Caesars como MGM son empresas multimillonarias, lo que los convierte en objetivos ideales para estos ataques.
AP reportó que la suma solicitada a Caesars Palace posiblemente fue de 30 millones de dólares para asegurar sus datos, y que solamente pagaron 15 millones. Aunque estos datos no están confirmados aún, es el tipo de cantidades que estos atacantes suelen solicitar.
Este tipo de ataques cada vez se vuelven más comunes. De acuerdo con Narang, en los últimos cuatro años los ataques de ransomware han dominado el panorama de amenazas, ya que la táctica de doble extorsión, donde estos grupos no sólo cifran archivos dentro de una red, sino que también roban y amenazan con publicar datos robados, ha sido el principal impulsor de su éxito.
De acuerdo con datos de la empresa de ciberseguridad CheckPoint, una organización en promedio a nivel global recibe 1,172 intentos de ataques por semana y, en México, esta cifra asciende a los 1,714 ataques semanales.
México no está exento de un ataque como Las Vegas
Francisco Robayo, jefe de ingeniería para América Latina en CheckPoint, compartió que México ya tiene un historial de ataques de ransomware. Por ejemplo, en 2021, Avaddon, el grupo hacker de origen ruso, filtró más de 800 archivos de la Lotería Nacional , entre los que se encontraron presupuestos, informes financieros y prácticas de outsourcing por no haber recibido el cobro que exigían.
Otro de los ciberataques más emblemáticos que sufrió México fue el caso de Pemex, en 2019, en el que los hackers solicitaron 565 bitcoins, o 4.9 millones de dólares, para liberar las computadoras afectadas de la petrolera, o el ataque a la Comisión Nacional de Seguros y Finanzas, en 2020, a la cual le robaron más de 10 gigas de información confidencial por la que pedían un millón de dólares .
“En México han ocurrido ataques tan o más graves como el de Las Vegas. De hecho, están pasando en este momento. Que no sean tan publicitados es otra cosa”, compartió Robayo.
Incluso mencionó que uno de los principales problemas es que en países europeos existe el Reglamento General de Protección de Datos (RGPD) que contiene disposiciones relacionadas con la notificación de violaciones de datos. Esto quiere decir que las organizaciones están obligadas a notificar cuando sufren de un ciberataque en un plazo de 72 horas desde que se tiene conocimiento de la violación.
Pero, en México no existe una reglamentación de este tipo, por lo que en muchas ocasiones los usuarios han sido víctimas de este tipo de vulneraciones y las empresas no lo notifican.
A nivel global, la industria de la hospitalidad y entretenimiento es una de las 10 más atacadas. Esto es un problema para México, considerando que solo la industria turística equivale al 8.4% del PIB.
“El principal problema con esta industria es que regularmente son más confiados y piensan que no les van a ocurrir ciberataques”, compartió Robayo. Además de que no suelen tener tantas protecciones de ciberseguridad, otro de los problemas es que al ser su negocio principal el servicio de placer y entretenimiento, la seguridad queda relegada a un tercero.
Robayo compartió que el daño más grande puede no ser necesariamente el ciberataque, sino a la reputación de la marca y eso se cuantifica después. Si una persona quería pasarla bien en sus vacaciones y sufrió un ciberataque, probablemente no volverá a consumir entretenimiento de ahí. “El caso de Las Vegas es un ejemplo de cómo México puede aprender lecciones de otros”, concluyó.
