Un juez federal en un caso derivado de uno de los peores ataques cibernéticos conocidos ha rechazado la oferta de la Comisión de Bolsa y Valores de Estados Unidos (SEC, por sus siglas en inglés) de supervisar los controles de ciberseguridad corporativa, aliviando a las empresas preocupadas de que los reguladores las penalizaran después de las infracciones cometidas por piratas informáticos con muchos recursos. En un caso seguido de cerca presentado por la agencia contra SolarWinds, víctima de piratería informática en 2020, el juez de distrito estadounidense Paul A. Engelmayer concedió el jueves la mayor parte de la moción de la empresa para desestimar, sosteniendo que las leyes actuales dan a la SEC autoridad solo sobre los controles financieros, no sobre todos los controles internos. «El fundamento de la SEC, según el cual el estatuto debe interpretarse para cubrir ampliamente todos los sistemas que las empresas públicas utilizan para salvaguardar sus valiosos activos, tendría amplias ramificaciones», escribió Engelmayer en una decisión de 107 páginas. «Podría facultar a la agencia para regular las verificaciones de antecedentes utilizadas en la contratación de guardias de seguridad nocturnos, la selección de candados para cobertizos de almacenamiento, las medidas de seguridad en los parques acuáticos de cuya fiabilidad dependía el activo de la buena voluntad del cliente, y las longitudes y configuraciones de las contraseñas.El juez federal de Manhattan también desestimó las reclamaciones de la SEC de que las revelaciones de SolarWinds después de enterarse de que sus clientes se habían visto afectados encubrieron indebidamente la gravedad de la vulneración, en la que se acusó a agentes de inteligencia rusos de hurgar en el software de SolarWinds durante más de un año para entrar en varias agencias federales y grandes empresas tecnológicas. Las autoridades estadounidenses describieron la operación, revelada en diciembre de 2020, como una de las más graves de los últimos años, y sus ramificaciones aún se están desarrollando para el gobierno y la industria. En una era en la que las campañas de piratería profundamente dañinas se han convertido en algo común, la demanda alarmó a los líderes empresariales, algunos ejecutivos de seguridad e incluso a ex funcionarios del gobierno, como se expresó en los escritos de los amigos de la corte pidiendo que se desestime. Argumentaron que agregar responsabilidad por declaraciones erróneas disuadiría a las víctimas de piratería de compartir lo que saben con clientes, inversores y autoridades de seguridad. SolarWinds, con sede en Austin, dijo que estaba complacido de que el juez «concediera en gran medida nuestra moción para desestimar las reclamaciones de la SEC», y agregó en una declaración que estaba «agradecido por el apoyo que hemos recibido hasta ahora en toda la industria, de nuestros clientes, de profesionales de la ciberseguridad y de funcionarios gubernamentales veteranos que se hicieron eco de nuestras preocupaciones». La SEC no respondió a una solicitud de comentarios. Engelmayer no desestimó el caso por completo, lo que permitió a la SEC tratar de demostrar que SolarWinds y el principal ejecutivo de seguridad Timothy Brown cometieron fraude de valores al no advertir en una «declaración de seguridad» pública antes del ataque que sabía que era altamente vulnerable a los ataques. La SEC «alega plausiblemente que SolarWinds y Brown hicieron tergiversaciones públicas sostenidas, de hecho muchas de ellas equivalentes a falsedades rotundas, en la Declaración de Seguridad sobre la idoneidad de sus controles de acceso», escribió Engelmayer. “Dada la centralidad de la ciberseguridad para el modelo de negocios de SolarWinds como una empresa que ofrece productos de software sofisticados a clientes para quienes la seguridad informática es primordial, estas tergiversaciones fueron innegablemente importantes”. El juez atribuyó a la SEC el mérito de respaldar ese argumento a través de una investigación que produjo mensajes y presentaciones internas que criticaban los controles de acceso de la empresa, las políticas de contraseñas y la capacidad limitada para monitorear sus redes. En 2019, un investigador de seguridad externo notificó a la empresa que se había expuesto una contraseña de un servidor utilizado para enviar actualizaciones de software: era “solarwinds 123”. Un año antes, un ingeniero advirtió en una presentación interna que un pirata informático podría usar la red privada virtual de la empresa desde un dispositivo no autorizado y cargar código malicioso. Brown no pasó esa información a los altos ejecutivos, escribió el juez, y los piratas informáticos utilizaron posteriormente esa misma técnica.