La Comisión de Bolsa y Valores de Estados Unidos consideró que las empresas involucradas minimizaron el impacto de incidentes vinculados al ciberataque a SolarWinds acaecidos entre 2020 y 2021, lo que a juicio de la SEC dejó a los inversionistas en la oscuridad sobre su verdadero alcance.
La Comisión de Bolsa y Valores de los Estados Unidos (SEC) sancionó a las empresas Check Point, Avaya, Unisys y Mimecast por realizar divulgaciones “materialmente engañosas” relacionadas con riesgos e intrusiones de ciberseguridad.
Las sanciones se derivan de una investigación de varios años, centrada en el impacto del ataque al software Orion de SolarWinds y otros incidentes relacionados.
Las multas impuestas suman varios millones de dólares: Unisys deberá pagar 4 millones, mientras que Avaya, Check Point y Mimecast, entre 990 mil y un millón de dólares cada una.
La SEC señaló que las empresas minimizaban la gravedad de los ataques en sus comunicaciones públicas, dejando a los inversores sin información precisa sobre el alcance de las intrusiones.
Sanjay Wadhwa, director interino de la División de Cumplimiento de la SEC, señaló que las compañías víctimas de ciberataques tienen la responsabilidad de proporcionar información transparente a los accionistas. «Las empresas no deben victimizar aún más a sus accionistas o al público inversor al dar información engañosa sobre los incidentes de ciberseguridad que han sufrido», afirmó.
La investigación de la SEC reveló que las cuatro empresas sabían desde 2020 o 2021 que sus sistemas habían sido comprometidos por el ataque de SolarWinds, el cual fue atribuido al Servicio de Inteligencia Exterior de Rusia. Sin embargo, «cada una minimizó negligentemente sus incidentes de ciberseguridad en sus divulgaciones públicas», según el informe de la SEC.
En el caso de Unisys, la SEC concluye que esta empresa describió los riesgos como «hipotéticos» incluso después de que los cibercriminales violaran sus sistemas en dos ocasiones y robaran varios gigabytes de datos.
Avaya, por su parte, habría minimizó el acceso ilícito de un actor maliciosos a su información, circunscribiendo el incidente a un “número limitado” de correos electrónicos, ello pese a que sabía que se vieron comprometidos 145 archivos adicionales.
El el caso de Check Point, la SEC indica que esta empresa describió el incidente de forma vaga, mientras que Mimecast no reveló detalles clave sobre el código robado y la cantidad de credenciales cifradas a las que se accedió.
Las cuatro empresas afectadas aceptaron las sanciones sin admitir ni negar las conclusiones de la SEC. Algunas de ellas incluso señalaron que buscaban dejar el asunto atrás.
Un portavoz de Check Point destacó que la compañía había investigado el incidente y no encontró evidencia de acceso a datos sensibles. No obstante, optó por cooperar con la SEC para resolver la disputa y «mantener el enfoque en la defensa contra ciberataques a nivel global».
Mimecast señaló que había sido transparente con socios y clientes durante su respuesta al incidente en 2021, mientras que Avaya reiteró su satisfacción por haber solucionado el asunto. Unisys, por su parte, anunció en una presentación ante la SEC que la multa de 4 millones de dólares ya había sido contabilizada en sus estados financieros de 2023.
El incidente de SolarWinds es uno de los más icónicos en la historia de la ciberseguridad y afectó a decenas de empresas y agencias gubernamentales, incluidos los departamentos de Defensa, Energía, Justicia y Tesoro de EE.UU.
Hace casi un año, la SEC inició una investigación contra SolarWinds y su director de seguridad informática, Timothy Brown, por supuestamente ocultar riesgos de ciberseguridad entre 2017 y 2021. En julio de este año, un juez desestimó gran parte del caso contra SolarWinds, argumentando que la mayoría de los cargos del gobierno contra la empresa “se basan inadmisiblemente en la retrospectiva y la especulación”. Pese a lo anterior, la SEC continúa investigando otros posibles incumplimientos relacionados con el incidente.