Dos grandes redes de casinos de Las Vegas, Caesars Entertainment y MGM Resorts, sufrieron ataques de ransomware en el verano de 2023, que expusieron los datos personales de miles de clientes e interrumpieron sus operaciones. Los ataques fueron llevados a cabo por un grupo de ciberdelincuentes llamado Scattered Spider, que utilizó técnicas de phishing e ingeniería social para comprometer al proveedor de soporte informático Okta, que ambos casinos utilizaban.
Los dos casinos respondieron de forma diferente a las peticiones de rescate. Caesars decidió pagar el rescate, lo que aparentemente minimizó el impacto del ataque y evitó la filtración de la base de datos de su programa de fidelización de clientes. MGM, por el contrario, se negó a pagar el rescate, lo que provocó una interrupción de una semana de sus sistemas informáticos y casinos, una pérdida de unos 100 millones de dólares y la filtración de sus datos robados.
Los resultados opuestos de los dos casinos plantean la cuestión de si pagar el rescate es la mejor opción en estas situaciones. Aunque pagar un rescate pueda parecer la forma más fácil y barata de resolver la crisis, también tiene implicaciones éticas y legales, ya que puede financiar más ciberdelincuencia y violar sanciones gubernamentales. Además, pagar el rescate no garantiza que los atacantes cumplan sus promesas y no filtren o reutilicen los datos.
Hay muchos factores que influyen en la decisión de pagar o no el rescate, como el tipo de datos implicados, la disponibilidad de copias de seguridad, el tiempo y el coste de la recuperación, el impacto reputacional y financiero, y la identidad y credibilidad de los atacantes. No hay una respuesta sencilla a este dilema, ya que cada caso es único y requiere una cuidadosa evaluación y valoración del riesgo. Sin embargo, una cosa está clara: los ataques de ransomware son cada vez más frecuentes y sofisticados, y las organizaciones deben invertir más en ciberseguridad y medidas de prevención para protegerse a sí mismas y a sus clientes.