El ciberataque sufrido por MGM Resorts en Las Vegas en septiembre pasado resultó en pérdidas cercanas a los $100 millones de dólares, según se informó a la Comisión de Bolsa y Valores (SEC) de Estados Unidos. Este incidente ilustra claramente la magnitud de las pérdidas a las que se exponen las grandes empresas cuando son víctimas de ataques cibernéticos.
MGM Resorts, cuyos casinos icónicos a lo largo de la avenida Strip de Las Vegas incluyen el Bellagio y el Mandalay Bay, se vieron seriamente afectados. La compañía se vio obligada a cerrar varios de sus servicios para mitigar el riesgo para la información de sus clientes. Esto provocó graves problemas para los huéspedes de los hoteles, quienes no podían acceder a sus habitaciones debido a que las llaves electrónicas estaban inoperativas.
Se estima que MGM Resorts destinó $10 millones de dólares adicionales para colaborar con agencias externas en la contención de los ataques, la gestión de la crisis, la realización de investigaciones forenses y legales, así como la ejecución de una campaña de limpieza de su imagen en los medios de comunicación y ante la opinión pública.
Los hackers lograron secuestrar con éxito los sistemas críticos de la empresa mediante la ingeniería social. Se ha revelado que gran parte de la información clave, como nombres, números de teléfono y cargos, se obtuvo de LinkedIn, lo que permitió a los atacantes obtener las credenciales necesarias. Se sospecha que el ataque pudo haber sido perpetrado por grupos de hackers rusos, que actúan de manera impune debido a la falta de colaboración internacional en la persecución de los delitos cibernéticos, agravada por el conflicto en Ucrania.
Casi al mismo tiempo, el competidor de MGM, Caesars Entertainment, reveló que también había sido víctima de un ataque de ransomware y notificó a la SEC que había pagado cerca de $15 millones de dólares a los hackers para recuperar el control de sus sistemas críticos. Esto lo colocó en riesgo de enfrentar posibles sanciones millonarias por parte de las autoridades estadounidenses.
Más allá del aspecto tecnológico
Ambos casos demuestran que las implicaciones de un ataque de ransomware trascienden el ámbito tecnológico. Revelan también una gestión deficiente de la ciberseguridad que pone en grave riesgo la inversión de las organizaciones, su desempeño financiero, su reputación y las expone a penalizaciones y acusaciones de apoyar a grupos criminales.
Además, subrayan la necesidad de fortalecer la cooperación entre las autoridades gubernamentales, la colaboración entre los sectores público y privado y la provisión de asesoramiento a las organizaciones afectadas para recuperar su información crítica sin tener que pagar un rescate.
Es esencial, por tanto, saber cómo gestionar una crisis de cualquier magnitud, ya sea en una gran empresa o en una PyME, y fortalecer la estrategia de seguridad para establecer los mecanismos tecnológicos y políticas organizacionales necesarias para elevar el nivel de protección y respuesta ante los ataques de malware, que están alcanzando niveles récord a nivel mundial.
Un enfoque particular
El manejo de la crisis desencadenada por un ataque de ransomware u otro tipo de software malicioso requiere un enfoque específico y adaptado a la industria en la que opera cada empresa. Sin embargo, deben integrarse aspectos clave para abordarla de manera efectiva.
En primer lugar, la organización debe contar con capacidades de detección y respuesta a amenazas y riesgos. Esto implica que el monitoreo ya no sea pasivo, sino proactivo, lo que permite identificar y responder a comportamientos anómalos e incidentes, así como identificar los posibles vectores de ataque.
Una segunda recomendación es que, en caso de que ocurra un evento de ciberseguridad, se deben tener procedimientos adecuados, definidos e implementados para acelerar la recuperación de los sistemas tecnológicos estratégicos y de la información comprometida.
Asimismo, es fundamental conformar un grupo multidisciplinario que opere como un «war room», en el cual participen profesionales de áreas como legal, recursos humanos, gestión de marca, marketing y comunicación, además de los responsables de ciberseguridad, gestión de riesgos y tecnologías de la información.
Desde este cuartel se toman las decisiones fundamentales para enfrentar un escenario adverso desde distintos frentes, gestionar los mensajes e interacción con los medios de comunicación, reportar los incidentes y afectaciones a las autoridades pertinentes, y negociar con los cibercriminales si es necesario.
Además, es crucial recopilar, analizar y documentar las lecciones aprendidas sobre cómo se manejó la crisis de ransomware y comenzar un ciclo de mejora continua en el que todas las áreas del negocio participen. Siempre se debe considerar que las amenazas no se detendrán y que la improvisación no tiene cabida.
Ya sea en un casino, una cadena minorista o una empresa de petróleo y gas, sectores que enfrentan ataques cibernéticos constantes, es de vital importancia no limitarse únicamente a una estrategia de ciberseguridad, sino ampliar la visión para integrar un plan de manejo de crisis coordinado y orquestado a nivel organizacional.