La ciudad de Las Vegas (Nevada, Estados Unidos) es mundialmente conocida por sus grandes casinos y su ambiente nocturno.
Sin embargo, estas famosas salas de juego típicas de la ciudad norteamericana que, a primera vista, parecen lugares inquebrantables, han llegado a padecer ciberataques que les han provocado pérdidas millonarias.
Scattered spider
Entre los meses de agosto y octubre de 2023, grandes casinos como MGM Grand o Caesars Entertainment sufrieron un ciberataque que la policía metropolitana de Las Vegas atribuyó al grupo de ciberdelincuentes Scattered spider (que se puede traducir como Araña dispersa).
Estos ataques hicieron que diferentes salas de juego sufrieran interrupciones masivas que derivaron en pérdidas económicas de más de 100 millones de dólares (algo más de 85 millones de euros).
La confesión de un menor
El pasado 17 de septiembre, un joven de 17 años, cuya identidad se desconoce por el hecho de ser menor, confesó voluntariamente que era el autor del ciberataque de hace más de dos años.
El menor será juzgado como un adulto, por lo que se enfrenta a seis cargos por delitos graves: tres por usar información personal identificativa para hacerse pasar por otra persona, uno por extorsión, uno por conspiración y otro por actos ilícitos relacionados con equipos informáticos.
Ingeniería social
Para realizar el ciberataque, el ‘hacker’ no tuvo que utilizar ninguna herramienta sofisticada de intrusión ni ningún equipo informático especializado. Al menor le bastó con usar la ingeniería social, es decir, la manipulación psicológica de una persona que le reveló información confidencial.
El joven localizó a un empleado del MGM Grand en Linkedin y se hizo pasar por él en el departamento de soporte técnico. Solicitó restablecer la contraseña del trabajador e, inmediatamente, tuvo acceso a los sistemas internos.
El ‘hackeo’ fue inmediato: en apenas unos minutos, quedaron bloqueadas las tarjetas de acceso a las habitaciones del hotel y las máquinas tragaperras dejaron de funcionar. Además, los empleados dejaron de tener acceso a sus cuentas de correo electrónico.
