La Comisión de Bolsa y Valores de Estados Unidos (SEC, por sus siglas en inglés) ha lanzado una demanda sin precedentes contra la compañía de software SolarWinds y su Director de Seguridad de la Información (CISO), Timothy Brown. La acusación se centra en la supuesta mala gestión de los riesgos de ciberseguridad y el ocultamiento de vulnerabilidades durante el ciberataque masivo que afectó a miles de empresas y agencias gubernamentales a finales de 2020. Este ataque, atribuido a grupos de cibercrimen rusos, comprometió a organizaciones que utilizaban el software de SolarWinds, convirtiéndolo en un caso emblemático de ciberseguridad y regulación.

La demanda de la SEC: Un paso inusual

La SEC ha demandado a SolarWinds y a su CISO por no cumplir con las leyes de seguridad de Estados Unidos al no divulgar adecuadamente las vulnerabilidades de seguridad en documentos regulatorios y otras declaraciones de la empresa. Esto marca un precedente, ya que es la primera vez que la SEC toma acciones legales directas contra el director de seguridad de una compañía, en lugar de llegar a un acuerdo. La demanda destaca la importancia de la transparencia en materia de ciberseguridad y la necesidad de que las empresas divulguen de manera adecuada las amenazas potenciales a inversores y reguladores.

El ciberataque a la cadena de suministro de SolarWinds

El ciberataque a SolarWinds se hizo público el 13 de diciembre de 2020, revelando la complejidad y gravedad del incidente. SolarWinds es el fabricante del software Orion, utilizado por más de 33,000 empresas en todo el mundo, incluyendo agencias gubernamentales y grandes corporaciones en Estados Unidos. El ataque aprovechó una vulnerabilidad conocida como «Sunburst,» que permitió a los atacantes infiltrarse en organizaciones que utilizaban el software SolarWinds.

Este episodio puso de manifiesto la amenaza de los ataques a la cadena de suministro, donde los atacantes aprovechan los proveedores o terceros para acceder a sus objetivos. Además de Sunburst, se descubrió otro malware llamado «Supernova» que podía ejecutar software malicioso. Lo alarmante es que el ataque se remontaba a marzo de 2020, cuando se desplegó una actualización del software Orion, lo que significa que miles de organizaciones estuvieron expuestas durante meses.

Atribución y reacción de SolarWinds

Las investigaciones apuntaron a grupos de cibercrimen rusos como los responsables del ataque. A pesar de que SolarWinds proporcionó información sobre el incidente, las autoridades estadounidenses consideraron que no era suficiente. Alegan que la compañía engañó al público al presentar una imagen diferente de su postura en materia de ciberseguridad en comparación con lo que se discutía internamente.

La respuesta de SolarWinds a la demanda ha sido contundente, calificando los cargos como infundados y sosteniendo que las autoridades regulatorias han «sobrerreaccionado». La empresa advierte que esto podría poner en riesgo la seguridad nacional y subraya la importancia de que todas las empresas públicas y profesionales de ciberseguridad se mantengan alerta.

La demanda de la SEC contra SolarWinds y su CISO refleja la creciente importancia de la transparencia y la responsabilidad en materia de ciberseguridad. Este caso, que involucra a una compañía víctima de un ciberataque masivo, marca un hito en la regulación de la ciberseguridad. El incidente de SolarWinds sigue siendo un recordatorio de las amenazas persistentes en línea y la necesidad de una acción más decidida para garantizar la seguridad de los datos y la infraestructura crítica.