La SEC, Comisión de Bolsa y Valores de Estados Unidos (Securities and Exchange Commission) ha demandado a la compañía de software SolarWinds y a su CISO, el máximo responsable de seguridad de la información de la empresa, por ocultar información sobre sus vulnerabilidades de ciberseguridad durante el ciberataque masivo conocido a finales de 2020.

Un complejo ataque a la cadena de suministro (atribuido a grupos de cibercrimen rusos) que comprometió a miles de empresas y agencias gubernamentales que usaban el software de SolarWinds. 

La SEC ha acusado al CISO de SolarWinds, Timothy Brown, por supuesta mala gestión de los riesgos de ciberseguridad y no cumplir con las leyes de seguridad de Estados Unidos al ocultar vulnerabilidades e incidencias de ciberseguridad en documentos regulatorios y otras declaraciones de la empresa. La demanda afirma que era consciente de las vulnerabilidades de los sistemas, pero no los dio a conocer adecuadamente a los inversores.

Esta demanda de la SEC es un caso poco frecuente de un organismo regulador al señalar directamente al director de seguridad de la información de una compañía.

Según Reuters, esta es la primera vez que el SEC ha denunciado a una compañía que ha sido víctima de un ciberataque, en lugar de presentar cargos y llegar a un acuerdo, que es la forma de actuar habitual.

Así fue el ciberataque de SolarWinds a la cadena de suministro

El ciberataque a la compañía de software (hasta ese momento, prácticamente desconocida) salió a la luz el 13 de diciembre de 2020.

SolarWinds es el fabricante de un software denominado Orion que es usado por 33.000 empresas en todo el mundo, incluyendo las mayores compañías y organizaciones gubernamentales de Estados Unidos. 

Este software contaba con una puerta trasera, una vulnerabilidad denominada Sunburst que permitió a los atacantes introducirse en las compañías en las que estaba siendo usado. Esto es lo que se denomina un ataque a la cadena de suministro: logran atacar a un cliente por medio de un proveedor o un tercero, en este caso a través de un programa informático. Más tarde también se descubrió otro malware, Supernova que podía ejecutar software malicioso.

Aunque se conoció el caso en diciembre, más tarde se supo que el incidente vendría desde marzo, cuando se desplegó la actualización de Orion que contaba con esa puerta trasera. Según investigaciones hechas por Microsoft, por lo menos 17.000 de sus clientes de todo el mundo que instalaron esa actualización estuvieron afectados por el ciberataque.

Sobre quién estuvo detrás de este incidente, el ciberataque ha sido atribuido a grupos financiados por Estados, concretamente grupos de cibercrimen rusos. 

Aunque el ciberataque ocupó titulares debido a su impacto durante finales de 2020 y principios de 2021, también había muchas incógnitas al respecto. SolarWinds fue publicando información sobre el ataque, pero para las autoridades estadounidenses, afectadas además por el incidente, no ha sido suficiente. 

La reacción de SolarWinds por la demanda 

Los reguladores afirman que SolarWinds engañó al público sobre los repetidos riesgos de ciberseguridad que tuvo entre 2018 y la divulgación sobre el ataque en diciembre de 2020.

Las autoridades aseguran que su responsable de ciberseguridad habló de manera interna sobre los riesgos y vulnerabilidades que eran conocidos, pero presentó una imagen diferente de manera pública.

La empresa de software con sede en Texas ha dicho que las autoridades regulatorias han “sobrerreaccionando”, y los cargos son infundados. Además han afirmado que esto pone en riesgo la seguridad nacional y «debería alarmar a todas las empresas públicas y profesionales comprometidos con la ciberseguridad en todo el país».

Debido al ciberataque, varias agencias federales estadounidenses se vieron comprometidas, incluidos los Departamentos de Estado, del Tesoro, Seguridad Nacional, Comercio y Energía. A día de hoy se desconocen todos los detalles y el impacto real.

 

Imagen de portada: SEC. The headquarters of the U.S. Securities and Exchange Commission (SEC) are seen in Washington, July 6, 2009. REUTERS/Jim Bourg.

Periodista especializada en seguridad informática y tecnología. Cofundadora y directora editorial de Bit Life Media, web dedicada a la actualidad de la tecnología, ciberseguridad e innovación. Presentadora de eventos y ponente especializada en seguridad informática y concienciación. Autora de "Ciberseguridad, consejos para tener vidas digitales más seguras".

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre