La SEC acusa a SolarWinds y a su ejecutivo de ciberseguridad de fraude y fallos en los controles internos
La Comisión de Valores y Bolsa de Estados Unidos (SEC) ha presentado cargos contra SolarWinds y su principal ejecutivo de ciberseguridad, Timothy Brown, por fraude y fallos en los controles internos, acusándolos de engañar a los inversores sobre las prácticas de ciberseguridad de la empresa antes de un ciberataque lanzado por hackers rusos en 2019.
En un comunicado publicado el lunes por la noche, la SEC afirmó que SolarWinds "supuestamente engañó a los inversores al revelar solo riesgos genéricos e hipotéticos" en un momento en que tanto SolarWinds como Brown conocían "deficiencias específicas" en las prácticas de seguridad de SolarWinds y los crecientes riesgos a los que se enfrentaba la empresa en ese momento.
La denuncia de la SEC acusó a la empresa de hacer afirmaciones, incluidas las relacionadas con sus propias prácticas de seguridad, que estaban "en contradicción" con sus evaluaciones internas. En un caso, la SEC dijo que Brown, quien actualmente se desempeña como director de seguridad de la información de SolarWinds, hizo presentaciones en los años previos al hackeo que afirmaban que las prácticas de seguridad de la empresa estaban en un "estado muy vulnerable".
Pero el regulador federal afirmó que Brown no logró plantear suficientemente los riesgos de seguridad a la empresa ni resolverlos.
Gurbir S. Grewal, quien supervisa la unidad de cumplimiento de la SEC, dijo que SolarWinds y Brown "ignoraron repetidas señales de alarma" y "se involucraron en una campaña para pintar una imagen falsa del entorno de controles cibernéticos de la empresa, privando así a los inversores de información material precisa".
"La acción de cumplimiento de hoy no solo acusa a SolarWinds y Brown de engañar al público inversor y de no proteger los activos más valiosos de la empresa, sino que también subraya nuestro mensaje a los emisores: implementen controles sólidos calibrados para sus entornos de riesgo y sean sinceros con los inversores sobre las preocupaciones conocidas", dijo Grewal.
El hackeo de SolarWinds apuntó a las redes de la NASA y la Administración Federal de Aviación
SolarWinds fue hackeada en 2019 por un grupo de hackers gubernamentales asociados con el servicio de inteligencia extranjera de Rusia, quienes se infiltraron en la red de SolarWinds y colocaron una puerta trasera en el código del producto estrella de la empresa, Orion, para la gestión de redes. Cuando el software Orion contaminado se distribuyó a los clientes de SolarWinds como una actualización de software, los hackers obtuvieron acceso a todas las redes que ejecutaban el software comprometido, incluyendo empresas privadas y agencias federales.
El hackeo se descubrió casi un año después en 2020, durante el cual se confirmó que varios departamentos del gobierno de Estados Unidos fueron comprometidos, incluyendo la NASA, el Departamento de Seguridad Nacional y el Departamento de Justicia, así como la gigante de seguridad FireEye, varias empresas de tecnología, universidades y hospitales.
La SEC informó a SolarWinds en noviembre de 2022 que enfrentaba acciones de cumplimiento después del ciberataque, advirtiendo que las revelaciones de ciberseguridad y las declaraciones públicas de la empresa estaban bajo escrutinio.
Después del hackeo, el exdirector ejecutivo de SolarWinds, Kevin Thompson, fue criticado por los legisladores estadounidenses por culpar a un becario por usar la ahora famosa contraseña "solarwinds123" en un servidor de archivos de SolarWinds durante varios años hasta que fue descubierta por un investigador de seguridad. La SEC dijo en su denuncia presentada en un tribunal federal de Nueva York que la simplicidad de esta contraseña "no cumplía con los requisitos de complejidad de contraseñas establecidos por la empresa", lo cual contradecía la declaración de seguridad publicada por SolarWinds. La SEC afirmó que las "declaraciones y omisiones" de SolarWinds y Brown con respecto a los problemas de contraseñas "no solo eran falsas y engañosas, sino también materialmente significativas".
Un portavoz de SolarWinds se negó a hacer comentarios oficialmente. En una publicación de blog publicada poco después del anuncio de la SEC, el CEO de SolarWinds, Sudhakar Ramakrishna, acusó a la SEC de lanzar una "acción de cumplimiento equivocada e inapropiada" contra la empresa y dijo que se opondrán "vigorosamente a esta acción".
Alec Koch, abogado de Brown, dijo que espera defender la reputación de Brown y "corregir las inexactitudes en la denuncia de la SEC".
Otras noticias • Seguridad
Destitución en DHS genera alarma por aumento de ciberataques
La destitución de miembros del Consejo de Revisión de Ciberseguridad del DHS tras la toma de posesión de Trump genera preocupación en la comunidad de...
EE.UU. sanciona a empresa china por vínculos con hackers
La reciente imposición de sanciones de EE.UU. a la empresa china Sichuan Juxinhe, vinculada al grupo de hackers Salt Typhoon, destaca la creciente preocupación por...
Ciberdelincuentes Clop intensifican extorsiones a empresas mediante ataques
El grupo de ciberdelincuentes Clop ha intensificado su campaña de extorsión, atacando software de transferencia de archivos de Cleo. Las empresas afectadas, como Covestro, han...
ONU discute regulación del software espía comercial y polarización
La reunión del Consejo de Seguridad de la ONU abordó por primera vez los peligros del software espía comercial, destacando su proliferación y uso indebido....
Ciberataque a Change Healthcare compromete 100 millones de registros médicos
El ciberataque a Change Healthcare ha comprometido más de 100 millones de registros de pacientes, generando preocupaciones sobre fraude y robo de identidad. La empresa...
Vulnerabilidad crítica en cortafuegos FortiGate requiere actualizaciones urgentes
Investigadores han alertado sobre una vulnerabilidad crítica en los cortafuegos FortiGate de Fortinet, explotada activamente desde diciembre. La CISA insta a las empresas a actualizar...
Desmantelan grupo de hackers chinos tras ciberespionaje global
Las autoridades estadounidenses han desmantelado el grupo de hackers chino "Twill Typhoon", responsable de ciberespionaje a nivel global mediante el malware PlugX. La operación, coordinada...
Gobierno británico prohibirá pagos de rescate en ransomware público
El gobierno británico propone prohibir los pagos de rescate en casos de ransomware para el sector público y sancionar a infraestructuras críticas que paguen a...
Lo más reciente
- 1
Inversión en computación cuántica cae 50% pero surgen esperanzas
- 2
Visa invierte en Moniepoint para digitalizar pagos en Nigeria
- 3
Reino Unido investiga a Apple y Google por competencia móvil
- 4
OpenAI lanza Operator, IA que automatiza tareas en navegadores
- 5
Tribunal indio suspende restricciones a WhatsApp y Meta, preocupa privacidad
- 6
Ananay Arora redirige OGOpenAI.com hacia DeepSeek por transparencia
- 7
Renuncia de Chris Young siembra dudas sobre innovación en Microsoft