Esta nota fue traducida al español y editada a partir de una versión en inglés.

Las Vegas Sands llegó a los titulares nacionales en 2014 cuando un ciberataque perpetrado por Irán infectó con programas dañinos o malware los sistemas informáticos de la empresa de casinos y dejó fuera de servicio tres cuartas partes de sus servidores en Las Vegas. 

Un mes después del ataque, Sands admitió que les habían robado datos de clientes y empleados, incluyendo números de Seguro Social, permisos de conducir, y pasaportes. La empresa retiró temporalmente los sitios de internet de sus casinos y corporativos. 

El pago por recuperar los datos y construir nuevos sistemas costó a la empresa de casinos unos $40 millones de dólares. 

Los asistentes al Consejo Nacional de Legisladores de Estados de Juego y Apuestas (NCLGS) se enteraron la semana pasada que Las Vegas Sands no era la única empresa de juego que enfrentó filtraciones de seguridad.

Michael Morton, asesor de la Junta de Control de Juegos y Apuestas de Nevada, detalló otros casos desde el ataque a Sands que afectaron a casinos de Las Vegas, incluyendo un apagón informático en febrero de 2020 que dejó fuera de servicio las máquinas tragamonedas de Binion's y Four Queens en el centro de la ciudad.

El apagón, que duró seis días, impidió que los clientes imprimieran vales de juego sin efectivo, y hubo obstáculos en los sistemas de facturación en los hoteles. 

Morton también destacó los ciberataques contra MGM Resorts International y la empresa que supervisa la cadena de salones de máquinas tragamonedas Dotty's.

Josh Chin, socio director del proveedor de ciberseguridad Net Force, que asesora al sector del juego en materia de ciberprotección, dijo a los legisladores asistentes a la conferencia que muchas empresas, incluyendo operadores de casinos, son poco estrictas en sus medidas de protección contra piratas informáticos.

El asesor en ciberseguridad Michael Tobin, presidente de Continent 8 Technologies, dijo que las mayores empresas de juego necesitan empleados con conocimientos en ciberprotección. 

Morton agregó que la próxima semana la Comisión de Juegos y Apuestas de Nevada abordará cambios en las normas que regulan los requisitos de ciberseguridad, incluyendo que los operadores realicen una evaluación de riesgos de sus sistemas el año que viene.

Morton dijo que el objetivo es tener las herramientas necesarias para detener cualquier ciberataque antes de que suceda.

Si los datos de clientes o empleados, como información de tarjetas de crédito, se ven comprometidos, los casinos están obligados a informar cualquier incidente a la Junta de Control de Juegos y Apuestas en un plazo de 72 horas.

A todos los casinos con ingresos anuales de $7 millones o más, se les requiere designar un auditor interno o una entidad independiente con experiencia en ciberseguridad para que documente observaciones, exámenes e investigaciones de los empleados para verificar las mejores prácticas y procedimientos de ciberseguridad.