MGM pagará USD 45 millones por una demanda colectiva sobre violaciones de datos

Un tribunal federal ha dado su aprobación preliminar a un acuerdo de USD 45 millones en una demanda colectiva consolidada contra MGM Resorts International por dos importantes violaciones de datos que expusieron la información personal de millones de clientes. Las filtraciones, que se produjeron en 2019 y 2023, afectaron a aproximadamente 37 millones de personas y pusieron de manifiesto vulnerabilidades en las prácticas de seguridad de datos de la empresa.  

La demanda, presentada en el Tribunal de Distrito de Nevada, combinó reclamos de dos incidentes separados. El primero data de julio de 2019 e involucró a un hacker que robó datos confidenciales como números de licencia de conducir, detalles de pasaporte y direcciones de clientes. 

Cuatro años más tarde, en septiembre de 2023, un ataque de ransomware tuvo como objetivo los sistemas de MGM, interrumpiendo las operaciones del hotel y desconectando las máquinas de juego durante varios días durante la ajetreada temporada de verano. El ataque también puso en peligro la información de los clientes y costó al operador del complejo unos USD 100 millones.  

Si se llega a un acuerdo, se indemnizará a las personas afectadas. Los clientes cuyos números de la Seguridad Social o de identificación militar hayan sido robados podrán optar por USD 75, mientras que aquellos cuyos pasaportes o carnés de conducir hayan sido comprometidos podrán reclamar USD 50. 

Todos los miembros del grupo pueden optar por servicios de protección frente al robo de identidad y de supervisión del crédito. Además, las personas que puedan demostrar daños específicos causados por las infracciones podrán reclamar hasta USD 15.000 por daños y perjuicios.  

"En nombre de millones de clientes de MGM Resort, estoy muy satisfecho con este acuerdo. Los sectores hotelero y del ocio son objetivos especialmente apetecibles para los piratas informáticos. Los mismos hackers también atacaron Caesars Entertainment en 2023", afirmó Douglas J. McNamara, abogado interino codirector de la demanda colectiva y socio de Cohen Milstein. 

La demanda acusó a MGM de no implementar medidas adecuadas de seguridad de datos, dejando sus sistemas vulnerables a los ciberataques. Las filtraciones también han atraído la atención de los reguladores federales. La Comisión Federal de Comercio (FTC) comenzó a investigar la gestión del ciberataque de 2023 por parte de MGM, emitiendo una demanda de investigación civil a la empresa. Más tarde, MGM interpuso una demanda contra la FTC, alegando que la agencia violó sus derechos amparados por la Quinta Enmienda y aplicó incorrectamente normas destinadas a las instituciones financieras.  

El acuerdo pretende resolver los problemas legales derivados de las infracciones, pero MGM puede seguir enfrentándose a consecuencias normativas. La aprobación definitiva del acuerdo se espera para junio.  

En una declaración a la Comisión del Mercado de Valores de EE.UU. en octubre de 2023, MGM reveló que prevé que la cobertura del seguro compensará el impacto financiero de los ataques. Sin embargo, el daño a la reputación y las interrupciones operativas causadas por las violaciones ponen de relieve los crecientes riesgos a los que se enfrentan las empresas a causa de los ciberataques.  

El acuerdo de conciliación también incluye disposiciones relativas a los honorarios de los abogados, que podrán solicitar hasta el 30% del fondo de USD 45 millones.