A finales de 2020 la empresa de software SolarWinds, fabricante del programa Orion, sufrió un importante ciberataque atribuído al Servicio de Inteligencia Exterior ruso.
Este afectó a muchas otras empresas, ya que los cibermalos puedieron acceder a un código fuente de Microsoft. Se calcula que unas 18.000 organizaciones así como instituciones públicas se vieron afectadas en total.
SolarWinds tenía como clientes grandes corporaciones pertenecientes al Fortune 500 y organizaciones gubernamentales del calado del Pentágono, la NASA o las Fuerzas Aéreas de EE.UU.
Ahora, la Comisión de Bolsa y Valores de EE.UU (SEC) ha sancionado a cuatro compañías dedicadas al sector tecnológico por hacer divulgaciones "materialmente engañosas" vinculadas con riesgos e intrusiones de ciberseguridad.
El organismo ha estado investigando durante años a estas empresas y ha determinado abultadas multas económicas para ellas. La mayor es para Unisys, quien tendrá que desembolsar 4 millones de dólares. Además, Avaya se verá obligada a desembolsar 1 millón de dólares, Check Point 995.000 y Mimecast 990.000.
Según ha comentado el director interino de la División de Compliance de la SEC, Sanjay Wadhwa, las empresas que se enfrentan a ciberataques no deben "victimizar aún más" a sus accionistas u otros miembros del público inversor al proporcionar divulgaciones engañosas sobre los incidentes de ciberseguridad que han encontrado.
La SEC ha encontrado que estas compañías proporcionaron "divulgaciones engañosas sobre los incidentes en cuestión, dejando a los inversores en la oscuridad sobre el verdadero alcance de los incidentes".
La comisión cree que el cuarteto minimizó la afectación de sus incidentes de ciberseguridad en sus comunicaciones públicas.
Mentiras arriesgadas
En el caso de Unisys, quien deberá responder con una cuantía mayor, la investigación de la SEC halló que esta describió los riesgos de ciberseguridad como hipotéticos. Todo ello pese a que los atacantes de SolarWinds habían violado sus sistemas dos veces y robado gigabytes de datos.
En cuanto a Avaya dijo que el pirata informático tenía acceso a un "número limitado", aunque era consciente de que había obtenido 145 archivos. Por su parte, Check Point describió el incidente en términos genéricos y Mimecast le quitó hierro al asunto al no revelar la naturaleza del código que exfiltró el actor de amenazas y la cantidad de credenciales cifradas a las que había accedido.
"Minimizar el alcance de una violación material de ciberseguridad es una mala estrategia", dijo. "Las leyes federales de valores prohíben las verdades a medias, y no hay excepción para las declaraciones en las divulgaciones de factores de riesgo", ha señalado Jorge Tenreiro, jefe interino de la Unidad de Criptoacticos y Cibernética de la SEC.