• Un juez estadounidense desestimó la mayor parte de la demanda de la SEC contra SolarWinds, dictaminando que las reclamaciones se basaban en “retrospectiva y especulación”.
  • La SEC acusó a SolarWinds de ocultar la vulnerabilidad y la gravedad del ataque, ignorando la complejidad de la ciberseguridad y mostrando un sesgo retrospectivo.

NUESTRA OPINIÓN
La acción de la SEC ignora las complejidades de la ciberseguridad, exigiendo a SolarWinds que divulgue cada incidente, lo que equivale a ayudar a los piratas informáticos. Las empresas deben encontrar un equilibrio entre transparencia y seguridad, y la postura de la SEC lo perturba. Lo que la SEC debería hacer es centrarse en promover prácticas de ciberseguridad en lugar de castigar a las víctimas de los ciberataques.
–Ashley Wang, reportera de BTW

¿Qué sucedió?

Un juez estadounidense ha desestimado la mayoría de una demanda de laComisión de Bolsa y Valores(SEC) contra la empresa de softwareSolarWinds, acusada de defraudar a los inversores ocultando sus debilidades de seguridad antes y después de un ciberataque vinculado a Rusia.

El ciberataque, conocido como Sunburst, tuvo como objetivo la plataforma de software Orion de SolarWinds, infiltrándose en varias redes del gobierno de EE. UU., incluidas las de los Departamentos de Comercio, Energía, Seguridad Nacional, Estado y Tesoro. Divulgado en diciembre de 2020, las consecuencias totales del ataque siguen sin estar claras, aunque el gobierno de EE. UU. lo atribuye a Rusia, lo cual fue luego negado por Rusia.

El juez de distrito de EE. UU. Paul Engelmayer, en Manhattan, desestimó todas las reclamaciones contra SolarWinds y Timothy Brown, su director de seguridad de la información, por declaraciones realizadas después del ataque. Dictaminó que estas reclamaciones se basaban en “retrospectiva y especulación”. En su decisión de 107 páginas, el juez también desestimó la mayoría de las reclamaciones de la SEC relacionadas con declaraciones hechas antes del ataque, excepto las acusaciones de fraude de valores relacionadas con una declaración en el sitio web de SolarWinds sobre los controles de seguridad de la empresa.

SolarWinds expresó su satisfacción con la decisión, calificando la reclamación restante contra la empresa como “inexacta desde el punto de vista de los hechos”.

Lea también:Amenazas de ciberseguridad: Las sombrías realidades del espionaje digital

Lea también:Tres capas de seguridad requeridas por las plataformas IoT

Por qué es importante

El caso de la SEC, presentado en octubre pasado, marcó la primera vez que el regulador apuntaba a una empresa víctima de un ciberataque sin anunciar un acuerdo simultáneo. También es poco común que la SEC demande a ejecutivos que no están estrechamente involucrados en la preparación de estados financieros. La SEC alegó que SolarWinds minimizó sus vulnerabilidades de ciberseguridad y la gravedad del ataque, y ocultó las advertencias de los clientes sobre la actividad maliciosa de Orion.

Sin embargo, la acción de la SEC ignora la compleja realidad de la ciberseguridad. Esperar que SolarWinds divulgue cada incidente y vulnerabilidad individual sería peligroso, ya que expondría a la empresa a los piratas informáticos. Las empresas deben equilibrar la transparencia con la seguridad, y la postura de la SEC perturba este delicado equilibrio.

SolarWinds reconoció el riesgo generalizado de los ciberataques, lo cual es una admisión honesta en el panorama digital actual. Castigarla por ser víctima de una embestida cibernética solo disuade a otras empresas de esa transparencia. La SEC debe recalibrar su estrategia, centrándose en fomentar prácticas sólidas de ciberseguridad en lugar de utilizar como chivos expiatorios a las empresas atrapadas en el fuego cruzado de la guerra cibernética global.