
Los clientes de SolarWinds, que experimentaron una filtración de datos de alto perfil el año pasado, están siendo investigados por la Comisión de Bolsa y Valores de EE. UU., según un informe de Reuters.
La investigación se centra en si algunas de las empresas que hacen negocios con el fabricante de software de gestión de redes no revelaron que se vieron afectadas por el ataque, informó Reuters el lunes, citando a dos fuentes anónimas familiarizadas con la investigación.
Esas fuentes revelaron que la SEC envió cartas la semana pasada a varias empresas públicas y firmas de inversión pidiéndoles que reconocieran voluntariamente si habían sido víctimas y no lo revelaron.
“La decisión de la SEC de investigar una filtración de una empresa pública es bastante significativa, considerando que podría haber implicaciones financieras de esta filtración que podrían afectar el futuro de una empresa”, Piyush Sharrma, cofundador de Accuricsuna empresa de resiliencia cibernética en Pleasanton, California, dijo a TechNewsWorld.
“El impacto de estas infracciones a gran escala claramente tiene el potencial de desestabilizar los precios de las acciones y el mercado de valores en general, por lo que tiene sentido que la SEC siga esa línea de investigación”, agregó Oliver Tavakoli, CTO de Vectra IAun proveedor de soluciones automatizadas de gestión de amenazas en San José, California.
A medida que los ataques cibernéticos continúan creciendo en sofisticación y costo, es significativo que la SEC esté al tanto de las brechas de seguridad y esté solicitando información sobre ellas de manera proactiva, sostuvo Bryce Hancock, director de operaciones de Centinela Cerberouna empresa de consultoría de seguridad cibernética y pruebas de penetración en Scottsdale, Arizona.
“Esto es importante desde el punto de vista de la divulgación, además de crear conciencia sobre la importancia de crear una cultura de ciberseguridad”, dijo a TechNewsWorld.
La SEC no respondió a una solicitud de comentarios para esta historia.
Cuestión de alcance
James McQuiggan, un defensor de la conciencia de seguridad en SaberBe4un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida, explicó que SolarWinds tiene miles de clientes, muchos de ellos probablemente empresas que cotizan en bolsa.
“Si bien la brecha de SolarWinds en sí misma estuvo en gran medida en las noticias, no se sabía bien si las otras organizaciones se presentaron para informar que habían sido violadas”, dijo a TechNewsWorld.
“Sin embargo, la SEC requiere que las organizaciones tengan procedimientos de divulgación, ya que deben informar cualquier violación de datos o incidentes cibernéticos”, continuó.
“Irónicamente, la empresa puede informar a la SEC que experimentó una infracción”, agregó, “pero no puede divulgarlo públicamente si no implica la pérdida de datos controlados por privacidad, como nombres o correos electrónicos.
Brent Johnson, CISO de atún rojouna empresa de seguridad de datos en Atlanta, explicó que una investigación sobre la violación de SolarWinds no es del todo inesperada, ya que la agencia ha multado a empresas en el pasado por no revelar las violaciones de datos.
“Lo que es diferente esta vez es la amplitud de las empresas afectadas por el incidente de SolarWinds”, dijo a TechNewsWorld.
“La confusión sobre si la ejecución de versiones de software afectadas afectó a las bases de usuarios de diferentes empresas probablemente ha generado muchas preguntas sobre el verdadero alcance de los piratas informáticos aquí”, dijo a TechNewsWorld.
Puerta trasera de rayos de sol
El ataque a la plataforma SolarWinds Orion se dio a conocer en diciembre. La plataforma se usa comúnmente para administrar arquitecturas de red conmutadas y enrutadas complejas.
Debido a la sofisticación del ataque, se sospecha que la operación estuvo respaldada por un estado-nación.
Lo que SolarWinds descubrió fue que los piratas informáticos pudieron penetrar en su infraestructura de desarrollo de software y colocar un programa de malware, conocido como Sunburst, en una actualización de software legítima para Orion.
En marzo de 2020, el parche de software malicioso se distribuyó a los clientes de SolarWinds. El parche estableció una puerta trasera a los sistemas que infectó, lo que les dio a los piratas informáticos un medio para robar datos de esos sistemas.
McQuiggan señaló que la SEC ha requerido que se informe de violaciones de datos a la agencia desde febrero de 2018.
“Sin embargo”, continuó, “dado que el ataque de SolarWinds es tan prominente en la industria, la SEC puede darse cuenta de que debería haber un número significativamente mayor de organizaciones que aún tienen que informar si una brecha las afectó a través del exploit Sunburst”.
“Este no es un territorio completamente nuevo para la SEC, ya que ha demandado a empresas relacionadas con la divulgación de infracciones y la falta de adopción de políticas de ciberseguridad adecuadas al menos desde hace una década”, agregó Tavakoli.
«Pero», dijo a TechNewsWorld, «este impulso se siente más expansivo y diferente que los enfoques ad hoc del pasado».
Solicitud de largo alcance
Además de solicitar divulgaciones voluntarias, Reuters informó que la SEC está buscando información de las víctimas del ataque sobre si experimentaron una falla en los controles internos, así como cualquier información sobre abuso de información privilegiada.
Reuters también informó que la SEC está analizando las políticas de algunas empresas para determinar si están diseñadas para proteger la información de los clientes.
“Creo que la pieza de controles internos es interesante”, dijo Johnson. “Si bien un ataque a la cadena de suministro puede ser difícil de detectar desde la perspectiva de los controles internos, la capacidad de una empresa para investigar, responder y notificar una vez que se detecta la vulnerabilidad podría estar bajo escrutinio”.
Sharrma sostuvo que la SEC está tratando de entender si los actores de amenazas estatales estuvieron involucrados en la violación. Sin embargo, reconoció que «hacer cumplir los controles y las políticas podría ser más complicado porque es posible que no todos los controles se apliquen a todas las empresas».
“Creo que están interesados en aprender, comprender y evaluar el impacto de la brecha, en lugar de hacer cumplir las políticas de seguridad”, agregó.
Tavakoli calificó las solicitudes de información de la SEC como «de gran alcance».
“La SEC establece una barra más clara para lo que constituye políticas y prácticas razonables de seguridad cibernética tiene el potencial de aclarar la responsabilidad corporativa para proteger el valor de los accionistas”, dijo.
“Las infracciones, y el conocimiento interno sobre ellas, pueden usarse claramente para beneficiarse ilegalmente en el comercio de acciones, algo que está directamente dentro del ámbito de competencia de la SEC”, agregó.
También señaló que la acción que la SEC puede tomar contra las empresas que admiten voluntariamente que no revelaron el impacto de la violación de SolarWinds en sus operaciones parece ser confusa.
“No queda claro a partir de los informes públicos si las empresas que ahora revelan una infracción no estarán sujetas a multas, solo que la información que proporcionen a la SEC no se utilizará como base para una acción legal”, dijo.
“Y es posible que las empresas aún deseen evitar la divulgación pública y la serie inevitable de demandas civiles que se derivarían de dicha divulgación”, agregó.