Las Vegas és sinònim de grans complexos hotelers, sistemes tecnològics avançats i una indústria de l’entreteniment que mou milers de milions de dòlars cada any, la qual cosa és equivalent a un context ideal per a un ciberatac.

Darrere dels llums i el glamur, els casinos operen amb infraestructures digitals altament interconnectades que gestionen reserves, pagaments, accessos i operacions internes en temps real.

Aquesta dependència tecnològica, encara que imprescindible, també ha ampliat la superfície d’exposició davant d’amenaces digitals cada cop més sofisticades.

Recentment, s’ha conegut que entre el 2023 i el 2024, la ciutat va ser escenari d’un dels episodis de ciberseguretat més impactants de la seva història recent.

Diverses de les empreses més grans del sector del joc van patir atacs coordinats que van interrompre serveis crítics i van provocar pèrdues econòmiques superiors als 100 milions de dòlars.

El que més va sorprendre els investigadors no va ser només la magnitud del dany, sinó el perfil del responsable principal: un adolescent que va actuar sense eines tècniques complexes.

L’atac que va posar en perill els gegants del joc

Durant diversos mesos del 2023, casinos de referència com ara MGM Grand i Caesars Entertainment van experimentar interrupcions greus en les seves operacions.

Sistemes de reserves inactius, màquines recreatives fora de servei i problemes generalitzats en l’accés a habitacions van afectar tant clients com empleats.

Informes interns van estimar que, només en el cas de MGM, les pèrdues directes i indirectes van superar els 100 milions de dòlars, inclosos els ingressos no percebuts, les despeses de recuperació i els danys reputacionals.

Les autoritats locals van atribuir aquests incidents al grup conegut com a Scattered Spider, una xarxa de ciberdelinqüents especialitzada en atacs contra grans corporacions.

Aquest col·lectiu ja havia estat vinculat prèviament a intrusions en empreses de telecomunicacions i tecnologia, cosa que va elevar la preocupació sobre la seva capacitat per infiltrar-se en sectors crítics.

Una confessió inesperada

El gir més destacat del cas es va produir quan un jove de 17 anys va admetre la seva participació directa als atacs. A causa de la seva edat, la seva identitat no va ser revelada públicament, tot i que les autoritats van confirmar que seria processat com a adult.

El menor s’enfronta a diversos càrrecs greus relacionats amb la suplantació d’identitat, l’extorsió, la conspiració i l’accés no autoritzat a sistemes informàtics.

Segons els documents judicials, l’adolescent va col·laborar activament amb altres membres del grup, va aportar coneixements pràctics i va executar fases clau de l’atac.

L’edat de l’implicat va evidenciar que el risc no sempre prové d’actors amb llargs historials criminals, sinó també de perfils joves amb habilitats socials i comprensió bàsica d’entorns corporatius.

L’enginyeria social com a arma principal

A diferència d’altres atacs que empren codi maliciós avançat o vulnerabilitats de dia zero, aquest cas es va recolzar gairebé exclusivament en tècniques d’enginyeria social.

El menor va identificar un empleat del MGM Grand a través de LinkedIn i va recopilar prou informació per fer-se passar pel servei de suport tècnic intern. Amb un discurs convincent, va sol·licitar el restabliment de les credencials d’accés.

Un cop obtingudes les claus, la intrusió va ser pràcticament immediata. En qüestió de minuts, es van bloquejar targetes d’accés a habitacions, les màquines escurabutxaques van deixar d’operar i els empleats van perdre l’accés als comptes corporatius.

L’atac va demostrar que la baula humana continua sent un dels punts més vulnerables de qualsevol sistema de seguretat, fins i tot en organitzacions amb alts pressupostos tecnològics.

Pèrdues incalculables

Les conseqüències van anar més enllà de la interrupció puntual de serveis. Experts del sector van estimar que cada hora d’inactivitat en un gran casino de Las Vegas pot suposar pèrdues de milions de dòlars.

A això se li sumen les despeses associades a auditories forenses, reforçament d’infraestructures i compensacions a clients afectats, cosa que incrementa notablement el cost total de l’incident.

A més de l’impacte financer, les empreses afectades van haver d’enfrontar-se a investigacions reguladores i una caiguda temporal en la confiança dels inversors.

Aquest tipus d’incidents subratlla com una sola errada en els protocols interns pot escalar ràpidament fins a convertir-se en una crisi corporativa de gran abast.

El cas posa en relleu la necessitat de reforçar la formació del personal en matèria de seguretat digital. Les estadístiques del sector indiquen que més del 70 % dels incidents greus comencen amb algun tipus de manipulació psicològica.