La empresa fintech Marquis, con sede en Texas, afirma que una vulnerabilidad en el servicio de respaldo en la nube de SonicWall, revelada meses antes, facilitó el acceso de atacantes a su red y provocó un ciberataque que expuso datos sensibles de clientes y afectó a decenas de instituciones financieras.
La empresa de Fintech tecnológica Marquis Software Solutions, proveedora de servicios de datos, cumplimiento normativo y herramientas empresariales para más de 700 bancos y cooperativas de crédito en Estados Unidos, ha presentado una demanda contra su proveedor de seguridad de red, SonicWall, por una supuesta negligencia grave y tergiversación que, según acusa, condujeron directamente a un devastador ransomware en agosto de 2025.
Según la demanda presentada en la Corte de Distrito de los Estados Unidos para el Distrito Este de Texas, el incidente comenzó con una brecha que afectó al servicio de respaldo en la nube MySonicWall, administrado por SonicWall, un servicio que guarda copias de seguridad de las configuraciones de firewall de los clientes. La filtración de estos archivos de respaldo -que contienen datos de configuración, credenciales cifradas y códigos de recuperación de autenticación multifactor (MFA)- proporcionó a los atacantes información crítica que fue usada para evadir las defensas de redes protegidas por esos mismos firewalls.
Marquis sostiene que, a pesar de haber mantenido sus sistemas actualizados con MFA habilitado y otras medidas de seguridad, la información expuesta a través de la brecha de SonicWall permitió a los atacantes eludir esos controles y desplegar un ransomware en sus sistemas internos. La empresa afirma que estos atacantes no solo lograron cifraron datos sino que también robaron archivos que contenían información personal de clientes de sus instituciones financieras asociadas -incluyendo nombres, direcciones, números de Seguridad Social, números de identificación fiscal y detalles de cuentas financieras- lo que ha generado demandas legales y costes significativos para Marquis.
La controversia se intensificó porque SonicWall, tras descubrir la brecha en su servicio de respaldo en febrero de 2025 tras un cambio de código en una de sus APIs, no reveló de inmediato el alcance completo de la exposición. Inicialmente afirmó que solo alrededor del 5 % de los clientes estaban afectados, pero más tarde corrigió esa cifra indicando que en realidad todos los usuarios de su servicio de respaldo en la nube habían sufrido la filtración.
Marquis afirma en su demanda que SonicWall no solo tardó en divulgar la amenaza, privando a sus clientes de la oportunidad de mitigar la intrusión de forma oportuina, sino que también habría contribuido al ataque al no cifrar adecuadamente elementos críticos de los respaldos, como los códigos de MFA. La fintech busca indemnización económica, cobertura de costos legales, contribución para posibles juicios derivados de las acciones colectivas y otras compensaciones equitativas que reparen los daños sufridos.
Por su parte, un portavoz de SonicWall ha dicho que no ha identificado evidencia técnica que vincule directamente su incidente de seguridad con la oleada de ataques de ransomware reportada por Marquis y que la empresa revisará cuidadosamente las acusaciones para defenderse contra cualquier reclamo infundado.
El caso ha atraído atención dentro de la industria tecnológica porque representa una de las pocas ocasiones en que un cliente corporativo -especialmente uno del sector financiero- responsabiliza legalmente a un proveedor de ciberseguridad por fallas en sus servicios que, supuestamente, facilitaron un ataque masivo. Además de los efectos financieros directos, Marquis señala que la reputación y el valor empresarial de la compañía se han visto dañados, con clientes que terminaron contratos y una serie de demandas colectivas en proceso.
Expertos legales en ciberseguridad consultados por varios medios internacionales coinciden en que esta disputa podría sentar un precedente en cuanto a la responsabilidad que asumen los proveedores de servicios críticos y cómo las organizaciones que dependen de ellos manejan el riesgo de terceros en sus estrategias de defensa.