Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Una visión general del ciberataque MGM

Una visión general del ciberataque MGM

Feb 14, 2025

Si alguna vez has estado en un casino de Las Vegas, entonces sabes que son literalmente máquinas de hacer dinero ya que las personas apuestan continuamente en una variedad de juegos. Los casinos modernos ejemplifican negocios transformados digitalmente, con clientes interactuando a través de múltiples canales digitales, desde sistemas de juegos hasta aplicaciones móviles y programas de lealtad. El ataque cibernético al MGM de Las Vegas mostró claramente cómo una interrupción digital puede resultar rápidamente en consecuencias sustanciales para un negocio en cuanto a sus ingresos, satisfacción del cliente e imagen pública.

El 11 de septiembre de 2023, MGM resorts emitió un comunicado en X que un “incidente de ciberseguridad” estaba afectando algunos de sus sistemas. El incidente provocaría una pérdida de 100 millones de dólares para el tercer trimestre de 2023. El ataque fue organizado por dos organizaciones separadas conocidas como Scattered Spider y ALPHV. Ante la significativa interrupción de sus operaciones y el potencial de más daños, la compañía tuvo que tomar decisiones difíciles, incluyendo si pagar millones en rescate a los atacantes como hizo su rival Caesars Entertainment.

Netwrix Privilege Secure

Descubrimiento Inicial y Respuesta

No se tarda mucho en determinar que estás en medio de un ataque de ransomware. Se cree que los atacantes primero vulneraron la red el 8 de septiembre. Al día siguiente, los equipos de seguridad de MGM detectaron actividad y tráfico inusuales en los sistemas de la empresa. El ataque se intensificó rápidamente en los siguientes días a medida que las operaciones se vieron interrumpidas públicamente.

MGM Resorts tomó medidas rápidas que incluyeron el cierre de ciertos sistemas para proteger sus datos e infraestructura, lo que provocó más interrupciones. Reconociendo la gravedad de la situación, MGM rápidamente trajo agencias externas y expertos líderes en ciberseguridad para ayudar a contener y mitigar el ataque. También se pusieron en contacto con las autoridades policiales, iniciando una investigación inmediata sobre la violación de la seguridad.

Cómo se desarrolló el ciberataque a MGM

Tácticas de Ingeniería Social Utilizadas por Hackers

Para obtener acceso a la red MGM, Scattered Spider lanzó un ataque de ingeniería social vishing que fue algo así como:

  1. Los miembros de Scattered Spider investigaron a empleados de MGM en LinkedIn, recopilando información sobre sus roles e identidades.
  2. Utilizando la información recopilada, los atacantes eligieron a un empleado de MGM para suplantar.
  3. Los hackers contactaron con el servicio de asistencia técnica de MGM, haciéndose pasar por el empleado y lograron convencer al servicio para que les proporcionara las credenciales de inicio de sesión.
  4. Utilizando las credenciales obtenidas, Scattered Spider ganó privilegios de administrador en los entornos de Okta y Azure tenant de MGM.
  5. Los atacantes utilizaron su acceso de alto nivel para moverse lateralmente dentro de los sistemas de MGM.

Fue en ese momento cuando Scattered Spider trajo a ALPHV para implementar su software de ransomware como servicio (RaaS). Cifraron aproximadamente 100 hipervisores ESXi dentro de la red de MGM. Estos servidores alojaban miles de máquinas virtuales que respaldaban sistemas críticos de hospitalidad como máquinas de juegos, sistemas de reservas en línea, llaves digitales de habitaciones y sitios web. ALPHV también afirma haber exfiltrado 6 TB de información de clientes durante este tiempo, tras lo cual iniciaron negociaciones con MGM para evitar la publicación pública de los datos robados. ALPHV también amenazó con revelar la información exfiltrada si no se podía llegar a un acuerdo.

Impacto en los sistemas y operaciones de MGM

Los efectos del ciberataque en MGM Resorts fueron inmediatamente evidentes con interrupciones generalizadas en toda su organización:

  • Las operaciones de juego se vieron interrumpidas cuando las máquinas tragamonedas se desconectaron mostrando mensajes de error
  • Los huéspedes del hotel se quejaron de que sus llaves digitales de las habitaciones dejaron de funcionar.
  • Los sistemas de reserva y reservación en línea fueron cerrados
  • Los servicios móviles se interrumpieron ya que la aplicación MGM se volvió completamente inaccesible.
  • Los sistemas de correo electrónico se vieron afectados
  • Las reservas en restaurantes se vieron interrumpidas

Cronología de los eventos y duración del ataque

La duración total del ataque fue de aproximadamente 10 días. El cronograma del ataque fue el siguiente:

  • 7 de septiembre de 2023: Scattered Spider lanza un ataque de ingeniería social contra el proveedor de soporte de TI de Caesar’s Entertainment.
  • 10 de septiembre de 2023: MGM Resorts comienza a experimentar interrupciones en el sistema.
  • 11 de septiembre de 2023: MGM revela públicamente el incidente y lanza una investigación después de contactar a las autoridades
  • 12-13 de septiembre de 2023: Los clientes informan varios problemas que afectan su experiencia.
  • 14 de septiembre de 2023: Scattered Spider afirma haber robado 6 terabytes de datos de MGM Resorts y MGM comienza a restaurar sus sistemas.
  • 20 de septiembre de 2023: MGM confirma la restauración completa del servicio a todos sus sistemas.

El daño financiero y de reputación

Pérdidas Financieras Estimadas Debido al Ataque Cibernético de MGM

Los costos de un ataque de ransomware pueden resultar bastante excesivos. Los costos involucrados incluyen gastos de mitigación, pérdida de productividad, posibles demandas, interrupción del negocio y el posible pago del rescate en sí. A diferencia de Caesars Entertainment, que sufrió un ataque de ransomware aproximadamente en el mismo período y optó por pagar el rescate, MGM dijo que nunca lo consideraron. Su decisión de abstenerse de pagar estaba alineada con las recomendaciones de expertos en ciberseguridad, agencias gubernamentales y fuerzas del orden, quienes aconsejaron en contra de tales acciones debido a los riesgos involucrados. MGM perdió una estimación de 84 millones de dólares en ingresos no obtenidos. También gastaron 10 millones de dólares en gastos únicos para consultoría tecnológica, honorarios legales y asesores externos. La compañía también enfrentó costos asociados con la provisión de servicios complementarios y la restauración de puntos de programas de lealtad a los clientes afectados.

Impacto en la reputación de MGM y la confianza del cliente

La compañía MGM Resorts enfrentó una oleada de atención negativa en las redes sociales mientras los usuarios expresaban sus frustraciones. Si esto llevará a una reducción de la lealtad y confianza del cliente aún está por verse. La recuperación de MGM fue ayudada por la llegada oportuna de la prestigiosa carrera de Fórmula Uno poco después del incidente, lo que ayudó a cambiar el enfoque y potencialmente mitigar algunos daños a la reputación.

Violación de datos y compromiso de información

Tipos de información del cliente expuesta

Los datos exfiltrados durante el ataque consistían en información sobre los clientes de MGM, principalmente aquellos que habían realizado transacciones con la empresa antes de marzo de 2019. Esto incluía información personal como nombres, datos de contacto, fechas de nacimiento y números de licencia de conducir. Un subconjunto más pequeño de clientes podría haber tenido expuestos sus números de seguridad social, pasaporte o identificación militar. Los datos personales relacionados con reservaciones de hotel y detalles de programas de lealtad también se vieron comprometidos. Aunque no se ha confirmado, los datos de los empleados también podrían haberse expuesto en el ataque.

Pasos que MGM tomó para proteger a los clientes

Tener un plan de respuesta a incidentes bien definido es crucial para gestionar y mitigar eficazmente el impacto de un ciberataque. A continuación, se presentan algunas de las medidas que MGM tomó inmediatamente después del ataque:

  • Creó un sitio web o portal específico con información sobre la violación
  • Emitió declaraciones públicas y actualizaciones a través de diversos canales para garantizar la transparencia
  • Proporcionó servicios gratuitos de monitoreo de crédito
  • Ofreció protección contra el robo de identidad para los clientes y empleados afectados
  • Se implementó un centro de llamadas dedicado para atender las preocupaciones y preguntas de los clientes

Consecuencias legales y demandas de clientes

Demandas colectivas contra MGM

Se han presentado múltiples demandas contra MGM como esta. Las acusaciones de estos juicios sostienen que, como un operador líder mundial de casinos y hoteles, MGM no implementó medidas de ciberseguridad adecuadas para proteger los datos de los consumidores. Alegan que el Demandante almacenó información sensible de los clientes sin la encriptación adecuada y que Okta había alertado previamente a la compañía sobre posibles riesgos de seguridad, sugiriendo que MGM no atendió estas advertencias. Las demandas buscan diversas formas de compensación, incluyendo:

  • Daños monetarios
  • Reembolso por protección potencial contra el robo de identidad
  • Cobertura de gastos relacionados con la protección de información personal
  • Daños punitivos por presunta negligencia

Escrutinio Regulatorio y Problemas de Cumplimiento

MGM reveló adecuadamente el ciberataque y su posible impacto financiero en los SEC filings, como se requiere para las empresas públicas. La FTC inició una investigación sobre las prácticas de data security de MGM tras el ataque, sin embargo, MGM presentó una demanda contra la FTC, alegando que la investigación excede la autoridad de la agencia. La compañía también alega un conflicto de intereses, ya que la presidenta de la FTC, Lina Khan, fue personalmente afectada por el ciberataque mientras se hospedaba en una propiedad de MGM. Varios reguladores estatales están investigando el incidente. Múltiples organismos reguladores estatales han iniciado investigaciones sobre el incidente del ciberataque a MGM. Aunque no se han nombrado agencias específicas, es probable que la Junta de Control de Juegos de Nevada esté involucrada en la investigación.

Lecciones aprendidas y medidas de ciberseguridad futuras

Mejoras en la estrategia de ciberseguridad de MGM

Para fortalecer su postura de ciberseguridad, la empresa realizó una evaluación exhaustiva de sus sistemas y procesos de ciberseguridad existentes. Luego implementaron medidas de seguridad adicionales que incluyeron:

  • Mejora de los controles de acceso y procesos de autenticación
  • Segmentación de red mejorada
  • Sistemas mejorados de detección y prevención de intrusiones
  • Prácticas de cifrado de datos fortalecidas

Además, MGM también anunció planes de invertir hasta $40 millones en mejoras de TI en el siguiente año.

La importancia de los planes de respuesta a incidentes

Las acciones rápidas de MGM demuestran claramente que tenían un plan de respuesta a incidentes bien estructurado. Su respuesta pronta incluyó:

  • Involucrando a expertos en ciberseguridad y agencias de aplicación de la ley
  • Movilizando a los profesionales de TI para contener la brecha
  • Intentando prevenir la propagación del ransomware
  • Comunicación oportuna y transparente con los clientes afectados

MGM reconoció rápidamente la gravedad del ataque y tomó la decisión crítica de apagar los sistemas digitales esenciales para aislar el ataque. Aunque esto inicialmente causó una interrupción operativa, evitó la exfiltración de datos adicionales y limitó la posible propagación del ransomware. Este enfoque proactivo demostró la importancia de tener un protocolo predefinido para el aislamiento rápido del sistema durante un incidente de ciberseguridad

Implicaciones más amplias para la industria de la hospitalidad

El ciberataque a MGM Resorts expuso la dependencia de la industria en sistemas digitales interconectados para operaciones. A medida que el sector integra cada vez más tecnologías digitales para gestionar reservas, programas de lealtad y sistemas de pago, se convierte en un objetivo principal para los ciberdelincuentes. El ataque demostró lo rápido que pueden interrumpirse múltiples servicios. Para abordar el riesgo aumentado, la industria debe implementar medidas de seguridad integrales, probar continuamente sus defensas y realizar los ajustes necesarios.

Cómo Netwrix puede ayudar

Netwrix cuenta con un conjunto completo de soluciones de seguridad que pueden proteger a sus organizaciones de ataques como el ciberataque del MGM Grand. Aquí hay algunos ejemplos:

  • Netwrix Privileged Access Management puede detener a los atacantes que se mueven lateralmente en su entorno eliminando el privilegio permanente. En lugar de cuentas estáticas que son vulnerables cuando no están en uso, Netwrix le permite crear cuentas temporales just-in-time con el acceso justo y necesario para realizar la tarea en cuestión. Una vez completada la tarea, la cuenta se elimina. También puede ayudarle a monitorear todas las actividades de administración en tiempo real a través de múltiples sistemas de TI.
  • Netwrix Auditor puede detectar brechas de seguridad en datos e infraestructura, como permisos directos excesivos o una abundancia de usuarios inactivos y ayudar a tomar medidas correctivas para minimizar su superficie de ataque. Al consolidar todas las alertas de actividad anómala desencadenadas por un individuo en una vista comprensiva, puede identificar rápidamente a posibles internos maliciosos o cuentas comprometidas.
  • Netwrix Data Classification puede encontrar todo el contenido sensible disperso por su organización para que pueda priorizar la seguridad del mismo. Puede poner automáticamente en cuarentena datos críticos o sensibles almacenados en ubicaciones no seguras o accesibles por grupos abiertos grandes.

Netwrix utiliza el monitoreo de actividad de usuario para señalar el acceso no autorizado o excesivo a cuentas privilegiadas, detectando cuando un usuario accede a sistemas o datos con los que normalmente no interactúa. El monitoreo de integridad de archivos identifica cambios no autorizados en archivos clave o configuraciones. Netwrix también ofrece herramientas de informes de cumplimiento para ayudar a MGM a mantenerse alineado con los estándares y regulaciones de la industria.

Seguridad de la Información Sensible: Estrategias para Proteger Datos Críticos

Aprende más

Preguntas frecuentes

¿Qué pasó con el ciberataque a MGM?

El Ciberataque al MGM de Las Vegas en septiembre de 2023 nos dio una visión de cómo un solo ataque puede interrumpir extensamente las operaciones de un negocio digital. El ataque fue iniciado por un grupo llamado Scattered Spider que utilizó la ingeniería social para hacerse pasar por un empleado objetivo y convencer al servicio de ayuda informática para que proporcionara credenciales de inicio de sesión, lo cual hicieron. Esto permitió a los atacantes infiltrarse en los sistemas de red de MGM, momento en el cual cedieron las operaciones a un grupo de ransomware llamado ALPHV que luego exfiltró datos y encriptó sistemas críticos. El ataque terminó costándole a MGM un estimado de alrededor de $100 millones en ingresos perdidos, honorarios legales y otros gastos.

¿Qué ocurrió en el ataque cibernético de Las Vegas 2023?

Dos organizaciones de cibercriminales coordinaron un ataque contra dos grandes casinos de Las Vegas en septiembre de 2023, incluyendo el MGM Grand. Para el MGM, el ataque interrumpió las operaciones, provocando que las máquinas tragamonedas se desconectaran, las llaves digitales de las habitaciones dejaran de funcionar y los sistemas de reservas en línea se cerraran. Los sistemas de correo electrónico se vieron afectados y muchos servicios móviles, incluida la aplicación de MGM, se volvieron inaccesibles.

¿Quién está detrás del hackeo de MGM?

El hackeo de MGM se atribuye a dos grupos principales. El primero fue Scattered Spider, una organización de hackers que se especializa en ataques de ingeniería social. Son conocidos por su fluidez en inglés, lo que ayuda en sus convincentes intentos de vishing. La segunda organización fue ALPHV, también conocida como BlackCat. Son una operación de ransomware como servicio con base en Rusia y fueron ellos quienes proporcionaron el ransomware que fue responsable del ataque principal. Se cree que estas dos organizaciones tienen algún tipo de afiliación entre sí.

¿Ha terminado el ataque cibernético a MGM?

Aunque el ataque que tuvo lugar durante un período de diez días en septiembre de 2023 ha terminado, las secuelas del ataque aún perduran. MGM enfrenta múltiples demandas colectivas relacionadas con la brecha y varias agencias reguladoras están llevando a cabo investigaciones separadas sobre el ataque. MGM también se ha comprometido a invertir $40 millones en salvaguardas adicionales y mejoras a su infraestructura de TI.

¿Los hackers de MGM fueron atrapados?

Sí, se han realizado varios arrestos relacionados con el ataque a MGM. En julio de 2024, un joven de 17 años del Reino Unido fue arrestado por su participación en el ataque. Los fiscales de EE. UU. presentaron cargos criminales contra cinco presuntos miembros de Scattered Spider meses después, en noviembre de 2024. Scattered Spider es una de las organizaciones criminales involucradas en el ataque.

¿Pagó MGM el rescate?

MGM Resorts decidió no pagar el rescate exigido por los hackers. Esta decisión estuvo alineada con las recomendaciones de expertos en ciberseguridad, agencias gubernamentales y fuerzas del orden, quienes aconsejaron en contra de tales acciones debido a los riesgos involucrados. Este enfoque fue diferente al de Caesars Entertainment, que supuestamente pagó aproximadamente $15 millones al mismo grupo de hackers. Por supuesto, no se puede saber con certeza si MGM pagó o no.

¿Qué fue robado de MGM Resorts?


En el caso del ciberataque al casino MGM Las Vegas, lo que se robó fue información, principalmente la información personal de sus clientes. Los datos comprometidos incluían nombres, información de contacto y números de identificación como licencia de conducir, identificación militar y pasaportes. También se vio comprometida la información personal relacionada con reservaciones de hotel y detalles de programas de lealtad. También es posible que algunos datos de empleados hayan estado expuestos en el ataque.

¿Cuánto dinero perdió MGM a causa del ataque cibernético?

Según una presentación ante la SEC, MGM Resorts sufrió una pérdida de $100 millones en el tercer trimestre de 2023 debido al ciberataque. Esto incluyó $84 millones en ingresos perdidos por operaciones interrumpidas y $10 millones en gastos únicos por consultoría tecnológica, honorarios legales y asesores externos. La compañía podría enfrentar pérdidas futuras adicionales por posibles premios de litigios y multas de cumplimiento.

¿Pagó MGM el ataque de ransomware?

Siempre es una decisión importante si pagar o no el rescate para acelerar la recuperación. En el caso del Ciberataque a MGM Resorts, la dirección de la empresa decidió seguir el consejo de expertos en ciberseguridad, agencias gubernamentales y fuerzas del orden, quienes aconsejaron no pagar debido a los riesgos involucrados.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Dirk Schrader

Vicepresidente de Investigación de Seguridad

Dirk Schrader es un Resident CISO (EMEA) y VP de Security Research en Netwrix. Con 25 años de experiencia en seguridad informática y certificaciones como CISSP (ISC²) y CISM (ISACA), trabaja para promover la ciberresiliencia como un enfoque moderno para enfrentar las amenazas cibernéticas. Dirk ha trabajado en proyectos de ciberseguridad en todo el mundo, comenzando en roles técnicos y de soporte al inicio de su carrera y luego pasando a posiciones de ventas, marketing y gestión de productos tanto en grandes corporaciones multinacionales como en pequeñas startups. Ha publicado numerosos artículos sobre la necesidad de abordar la gestión de cambios y vulnerabilidades para lograr la ciberresiliencia.

Aprende más sobre este tema

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Cómo agregar y eliminar grupos de AD y objetos en grupos con PowerShell

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad