Un chico de 17 años se hace pasar por empleado y hackea las webs de varios casinos en Las Vegas: causa pérdidas de más de 100 millones de dólares

Un adolescente fue arrestado en Estados Unidos tras entregarse voluntariamente por su presunta participación en una serie de ciberataques dirigidos contra varios casinos en la ciudad de Las Vegas, Nevada. El joven, cuya identidad no ha sido revelada por tratarse de un menor de edad, se presentó el 17 de septiembre en el Centro de Detención Juvenil del Condado de Clark, en Las Vegas, según informó el Departamento de Policía Metropolitana de la ciudad en un comunicado emitido el viernes 19 de septiembre.

“Entre agosto y octubre de 2023, varios casinos de Las Vegas fueron blanco de sofisticadas intrusiones en la red”, indicó la policía local. La investigación reveló que los ataques fueron atribuidos a un grupo de ciberdelincuentes conocido bajo distintos alias, entre ellos “Scattered Spider”, “Octo Tempest”, “UNC3944” y “0ktapus”.

Los ataques cibernéticos afectaron de forma directa a gigantes del sector hotelero y de entretenimiento como MGM Resorts y Caesars Entertainment. Ambas compañías sufrieron interrupciones masivas en sus operaciones tras los incidentes, los cuales derivaron en pérdidas estimadas en más de 100 millones de dólares. Según reportes presentados ante la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) en octubre de 2023, MGM detalló un impacto financiero cercano a los 100 millones de dólares, mientras que Caesars también reconoció haber sido blanco de un ciberataque en fechas similares.

La gravedad de estos hechos ha llevado a las autoridades del Condado de Clark a considerar una medida excepcional: procesar al menor como si fuera un adulto. “La Fiscalía del Condado de Clark busca transferir al menor a la División Penal, donde sería juzgado como adulto”, afirmó la Policía Metropolitana de Las Vegas.

El caso fue investigado por el Grupo de Trabajo Cibernético del FBI en Las Vegas, que identificó al adolescente como sospechoso clave en los ataques. Entre los delitos que se le imputan se encuentra el de extorsión, aunque podrían sumarse más cargos a medida que avance el proceso judicial.

Uno de los aspectos más preocupantes del caso es la aparente sencillez con la que el atacante logró acceder a los sistemas internos de las empresas afectadas. Según información revelada por SFGATE, el hacker habría localizado a un empleado del hotel MGM Grand a través de LinkedIn, haciéndose pasar por él ante el departamento de soporte técnico de la compañía. Una vez establecida la falsa identidad, solicitó el restablecimiento de la contraseña del trabajador.

La estrategia fue efectiva. De acuerdo con un reporte de Forbes, el atacante logró penetrar los sistemas internos del MGM apenas “diez minutos” después de haber restablecido la contraseña. Las consecuencias fueron inmediatas: las tarjetas de acceso de las habitaciones quedaron inactivas, las máquinas tragamonedas dejaron de funcionar, las reservas fueron bloqueadas y los empleados no pudieron acceder a sus correos electrónicos.

MGM, en su declaración ante la SEC, aseguró que tomó medidas para mitigar el daño causado y proteger los datos de sus clientes. Según se indica en la presentación del 5 de octubre de 2023, la empresa afirmó haber adoptado acciones “para garantizar que los datos robados sean eliminados por el autor no autorizado”. Sin embargo, no se detalló si esta medida fue efectiva o si se llegó a un acuerdo con los atacantes.

El caso ha reabierto el debate sobre la seguridad digital en grandes corporaciones y el uso que los grupos criminales hacen de plataformas como LinkedIn para realizar ataques de ingeniería social. También pone en la mira la forma en que los sistemas internos de algunas empresas pueden ser vulnerables a técnicas relativamente simples de manipulación.

Por ahora, el joven permanece bajo custodia en el centro de detención juvenil, a la espera de que se determine si será juzgado bajo la ley juvenil o como adulto. De confirmarse la segunda opción, enfrentaría un proceso mucho más severo, con penas significativamente mayores.