La Comisión de Bolsa y Valores de EE. UU. (SEC, por sus siglas en inglés) ha multado a cuatro empresas por declaraciones engañosas relacionadas con la violación del software SolarWinds Orion en 2020. Las empresas sancionadas son Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies y Mimecast Limited. Según la SEC, estas compañías minimizaron el impacto de la brecha o trataron el incidente como hipotético, a pesar de tener conocimiento de que se habían robado datos significativos.
Sanjay Wadhwa, director interino de la División de Cumplimiento de la SEC, declaró:
«Las órdenes de la SEC concluyen que estas empresas proporcionaron divulgaciones engañosas sobre los incidentes en cuestión, dejando a los inversores sin información sobre el verdadero alcance de los incidentes.»
Las compañías han acordado pagar multas sin admitir culpabilidad.
- Unisys pagará $4 millones
- Avaya pagará $1 millón
- Check Point pagará $995,000
- Mimecast pagará $990,000
Detalles de las violaciones de cada empresa
- Avaya
En diciembre de 2020, Avaya descubrió que al menos un servidor en la nube con datos de clientes y otro servidor para su red de laboratorio habían sido vulnerados por hackers vinculados al gobierno ruso. Posteriormente, se identificaron brechas en sus sistemas de correo electrónico y plataformas de intercambio de archivos en la nube. Sin embargo, en su informe trimestral de febrero de 2021, Avaya minimizó el impacto, declarando que solo un número limitado de correos electrónicos había sido accedido. - Unisys
Una investigación interna reveló múltiples brechas en sus sistemas durante 16 meses, incluyendo accesos no autorizados a siete redes y 34 cuentas basadas en la nube. No obstante, los informes de Unisys describieron los incidentes como riesgos hipotéticos, omitiendo el alcance real de las intrusiones. - Check Point
En diciembre de 2020, Check Point detectó dos servidores infectados y rastros de movimiento de los hackers dentro de su red. Sin embargo, en sus presentaciones a la SEC, la empresa utilizó un lenguaje genérico sobre riesgos de ciberseguridad, similar al de informes anteriores, sin detallar la gravedad del incidente. - Mimecast
Mimecast descubrió que los hackers usaron un certificado de autenticación robado para acceder a cinco plataformas en la nube de clientes, correos electrónicos internos y códigos de una base de datos cifrada con credenciales de clientes. Sin embargo, sus reportes a la SEC omitieron detalles críticos sobre la magnitud de la brecha.
Contexto del ciberataque de SolarWinds Orion
Funcionarios estadounidenses y empresas de inteligencia privada atribuyen el compromiso de SolarWinds Orion al Servicio de Inteligencia Exterior de Rusia (SVR). Este ataque formó parte de una campaña de espionaje a largo plazo que afectó al menos a nueve agencias federales y cerca de 100 organizaciones del sector privado.
Con estas sanciones, la SEC subraya la importancia de la transparencia en la divulgación de ciberincidentes, para que los inversores puedan evaluar adecuadamente los riesgos.
