La Comisión de Bolsa y Valores de EE.UU. (SEC) ha presentado una denuncia contra el director de seguridad de la infomación del gigante SolarWinds, Timothy Brown, por, presuntamente, haber engañado a los inversores de la compañía.
En la denuncia, presentada en el Distrito Sur de Nueva York, y centrada en violaciones de las disposiciones antifraude de la Ley de Valores de 1933 y de la Ley de Bolsa de Valores de 1934, se señala que el CISO de la compañía exageró en las prácticas de ciberseguridad de esta y llegó a "subestimar o no revelar los riesgos conocidos".
La comisión asegura que entre su Oferta Pública de Venta de octubre de 2018 y la comunicación de esta infracción en diciembre de 2020, SolarWinds estuvo engañando a los inversores, al revelar únicamente "riesgos genéricos e hipotéticos en un momento en que la compañía y Brown conocían deficiencias específicas en las prácticas de ciberseguridad de SolarWinds, así como los riesgos cada vez más elevados que la empresa enfrentaba al mismo tiempo”.
“Alegamos que, durante años, SolarWinds y Brown ignoraron repetidas señales de alerta sobre los riesgos cibernéticos de SolarWinds, que eran bien conocidos en toda la organización", ha comentado Gurbir Grewal, director de la División de Cumplimiento de la SEC, quien recuerda que uno de los subordinados de Brown llegó a decir públicamente cosas como: "Estamos muy lejos de ser una empresa preocupada por la seguridad".
Según recoge The Record Media, la SEC va más allá y afirma que “en lugar de abordar estas vulnerabilidades, SolarWinds y Brown participaron en una campaña para pintar una imagen falsa del entorno de controles cibernéticos de la empresa, privando así a los inversores de información material precisa".
La comisión tiene constancia de distintos correos en los que el CISO y otros empleados de la corporación hablan sobre cómo proteger sus activos críticos de ciberataques y presentaciones donde el primero indica que se encuentran en un estado de seguridad muy vulnerable.
Por todos estos motivos, ahora, el director de seguridad de la información de la compañía se enfrentaría a cargos relacionados con fraude y fallas de control interno.
La Comisión de Bolsa y Valores busca medidas cautelares permanentes, la devolución con intereses previos al fallo,sanciones civiles y una prohibición de oficial y director contra Brown.
SolarWinds se defiende
SolarWinds se ha pronunciado respecto a la acción impulsada por la comisión. Un portavoz explica que están "decepcionados por los cargos infundados de la SEC relacionados con un ciberataque ruso a una empresa estadounidense y estamos profundamente preocupados de que esta acción ponga en riesgo nuestra seguridad nacional".
Para más inri, añaden que "la determinación de la SEC de fabricar un reclamo contra nosotros y nuestro CISO es otro ejemplo de la extralimitación de la agencia y debería alarmar a todas las empresas públicas y profesionales comprometidos con la ciberseguridad en todo el país. Esperamos aclarar la verdad en los tribunales y continuar apoyando a nuestros clientes a través de nuestros compromisos de Secure by Design".
En defensa de Brown también ha salido su abogado. Este sostiene que realizó su trabajo con "diligencia, integridad y distinción" y se empleó "incansable y responsablemente para mejorar continuamente la postura de ciberseguridad de la compañía durante su tiempo en SolarWinds".
Para muchos esta denuncia no se trata de ninguna sorpresa, ya que la SEC llevaba un tiempo advirtiendo de que pensaba acusar a los altos cargos de SolarWinds por su actuación en un ciberataque ocurrido a la organización y que se prolongó durante dos años.
Los actores de amenazas de dicho incidente, vinculados con el Servicio de Inteligencia Exterior de Rusia según las sospechas del gobierno de EE.UU., hallaron una manera de introducir malware en una versión de la aplicación de monitorización de TI Orion de la compañía.
Eso les facilitó poder implementar malware adicional comprometiendo los sistemas internos y basados en la nube y tener 'barra libre' para sustraer información confidencial durante varios meses.
Los cibermalos pudieron aprovechar el ataque para acceder a grandes corporaciones, pero también a instituciones estadounidenses, como el Departamento de Defensa, el Departamento de Justicia, el Departamento de Comercio, el Departamento del Tesoro, el Departamento de Seguridad Nacional, el Departamento de Estado, el Departamento de Energía y más.
SolarWinds ya había llegado a un acuerdo para pagar 26 millones de dólares a los accionistas por demandas relacionadas con el escándalo de piratería informática.