Una investigación de la Comisión de Bolsa y Valores de EE. UU. Sobre la operación de piratería de SolarWinds en Rusia tiene a decenas de ejecutivos corporativos que temen que la información descubierta en la investigación en expansión los exponga a responsabilidad, según seis personas familiarizadas con la investigación.
La SEC está pidiendo a las empresas que entreguen los registros en “cualquier otra” violación de datos o ataque de ransomware que se remonta a octubre de 2019 si descargaron una actualización de software de administración de red con errores de SolarWinds, que ofrece productos utilizados en toda América corporativa, según los detalles del cartas compartidas con Reuters.
Las personas familiarizadas con la investigación dicen que las solicitudes pueden revelar numerosos incidentes cibernéticos no denunciados no relacionados con la campaña de espionaje rusa, lo que le da a la SEC un nivel poco común de información sobre incidentes previamente desconocidos que las empresas probablemente nunca tuvieron la intención de revelar.
“Nunca había visto algo como esto”, dijo un consultor que trabaja con decenas de empresas que cotizan en bolsa y que recientemente recibieron la solicitud. “Lo que preocupa a las empresas es que no saben cómo la SEC utilizará esta información. Y la mayoría de las empresas han tenido infracciones no denunciadas desde entonces”. El consultor habló bajo condición de anonimato para discutir su experiencia.
Un funcionario de la SEC dijo que la intención de la solicitud era encontrar otras infracciones relevantes para el incidente de SolarWinds.
La SEC dijo a las empresas que no serían penalizadas si compartían datos sobre el hack de SolarWinds de forma voluntaria, pero no ofreció esa amnistía para otros compromisos.
Los ciberataques han aumentado tanto en frecuencia como en impacto, lo que provocó una profunda preocupación en la Casa Blanca durante el último año. Los funcionarios estadounidenses han culpado a las empresas por no revelar tales eventos, argumentando que oculta el alcance del problema a los accionistas, los legisladores y las fuerzas del orden que buscan a los peores infractores.
Personas familiarizadas con la investigación de la SEC dijeron a Reuters que las cartas se enviaron a cientos de empresas, incluidas muchas en los sectores de tecnología, finanzas y energía, que se cree que podrían verse afectadas por los ataques de SolarWinds. Ese número excede los 100 que el Departamento de Seguridad Nacional dijo que había descargado el software SolarWinds malo y luego lo había explotado.
Desde el año pasado, solo unas dos docenas de empresas han sido identificadas públicamente como afectadas, incluidas Microsoft, Cisco Systems, FireEye e Intel. De los contactados para esta historia, solo Cisco confirmó haber recibido la carta de la SEC. Un portavoz de Cisco dijo que ha respondido a la solicitud de la SEC.
La investigación de ciberseguridad también ha sugerido que el fabricante de software Qualys y la compañía de energía petrolera Chevron Corp estaban entre los objetivo de la operación cibernética rusa. Ambos se negaron a comentar sobre la investigación de la SEC.
Cerca de 18.000 clientes de SolarWinds descargaron una versión pirateada de su software, que los ciberdelincuentes manipularon para un posible acceso futuro. Sin embargo, solo un pequeño subconjunto de esos clientes vio actividad de piratería de seguimiento, lo que sugiere que los atacantes infectaron a muchas más empresas de las que finalmente victimizaron.
La SEC envió cartas el mes pasado a las empresas que se cree que se han visto afectadas, luego de una ronda inicial enviada en junio, según seis fuentes que han visto las cartas.
La segunda ola de solicitudes se dirigió a destinatarios de empresas de la primera ronda que no habían respondido. El número exacto de destinatarios no está claro.
La investigación actual no tiene precedentes en términos de la falta de claridad sobre el objetivo de la SEC en un barrido tan grande, dijo Jina Choi, socia de Morrison & Foerster y ex directora de la SEC que ha trabajado en casos de ciberseguridad.
Aunque la SEC emitió una guía hace una década pidiendo a las empresas que divulguen los hacks que podrían ser importantes, luego actualizó esa guía en 2018, la mayoría de las admisiones han sido vagas.
Gary Gensler, quien asumió el mando de la SEC en abril, ha encargado a la agencia que emita nuevos requisitos de divulgación que van desde la ciberseguridad hasta el riesgo climático.
Si bien Reuters informó por primera vez del ataque hace más de nueve meses, el impacto real de la operación de espionaje digital a gran escala, que según los funcionarios estadounidenses provino de un servicio de inteligencia ruso, sigue siendo en gran parte desconocido.
Los funcionarios del gobierno han evitado compartir un relato completo de lo que fue robado o lo que buscaban los rusos, pero lo describieron como espionaje gubernamental tradicional.
Decenas de empresas se han referido a los ataques en las presentaciones de la SEC, pero muchas citan los eventos solo como un ejemplo del tipo de intrusión que podrían experimentar algún día. La mayoría de los que dicen tener instalado el software SolarWinds añaden que no creen que se hayan tomado sus datos más confidenciales.
John Reed Stark, exjefe de la oficina de aplicación de Internet de la SEC, dijo que “las empresas tendrán dificultades para responder estas preguntas, no solo porque son solicitudes amplias, radicales y que lo abarcan todo, sino también porque la SEC está destinada a descubrir algún tipo de error “en lo que han revelado anteriormente.
© Thomson Reuters 2021
