Por Christopher Bing, Chris Prentice y Joseph Menn
10 sep (Reuters) - Una investigación de la Comisión de Bolsa y Valores de Estados Unidos sobre la operación de 'hackeo' rusa de SolarWinds hace temer a decenas de ejecutivos empresariales que la información obtenida en el proceso en curso pueda ponerlos en evidencia, según seis personas familiarizadas con la investigación.
La Comisión de Bolsa y Valores estadounidense (SEC, por sus siglas en inglés) está solicitando a las empresas que entreguen registros sobre "cualquier otra" violación de datos o ataque de 'ransomware' que se remonte a octubre de 2019 si descargaron una actualización de software de gestión de red con errores de SolarWinds Corp, que ofrece productos utilizados en toda la conocida como América corporativa, según los detalles de las cartas compartidas con Reuters.
Personas familiarizadas con la investigación dicen que las solicitudes pueden revelar numerosos incidentes cibernéticos no declarados y no relacionados con la campaña de espionaje ruso, dando a la SEC un nivel excepcional de conocimiento sobre incidentes previamente desconocidos que las empresas probablemente nunca tuvieron la intención de revelar.
"Nunca he visto nada como esto", dijo un consultor que trabaja con decenas de empresas que cotizan en bolsa y que recientemente recibieron la solicitud. "Lo que preocupa a las empresas es que no saben cómo utilizará la SEC esta información. Y la mayoría de las empresas han tenido infracciones no comunicadas desde entonces".
El consultor habló bajo condición de anonimato.
Un responsable de la SEC dijo que la intención de la solicitud era encontrar otras infracciones relacionadas con el incidente de SolarWinds.
La SEC dijo a las empresas que no serían penalizadas si compartían voluntariamente los datos sobre el 'hackeo' de SolarWinds, pero no ofreció esa indulgencia para otras infracciones.
Los ciberataques han aumentado tanto en frecuencia como en impacto, suscitando una profunda preocupación en la Casa Blanca durante el último año. Las autoridades estadounidenses han criticado a las empresas por no revelar este tipo de incidentes, argumentando que así se oculta el alcance del problema a los accionistas, a los responsables políticos y a las fuerzas de seguridad que buscan a los principales agresores.
Personas familiarizadas con la investigación de la SEC dijeron a Reuters que las cartas se enviaron a cientos de empresas, incluidas muchas de los sectores de la tecnología, las finanzas y la energía, que se cree que están potencialmente afectadas por los ataques de SolarWinds. Ese número supera las 100 que, según el Departamento de Seguridad Nacional, habían descargado el 'software' defectuoso de SolarWinds que después fue utilizado por los 'hackers'.
Desde el año pasado, sólo una veintena de empresas han sido identificadas públicamente como afectadas, incluyendo Microsoft Corp (NASDAQ:MSFT), Cisco Systems (NASDAQ:CSCO), FireEye Inc e Intel Corp (NASDAQ:INTC). De las empresas contactadas para este artículo, sólo Cisco confirmó haber recibido la carta de la SEC. Un portavoz de Cisco dijo haber respondido a la solicitud de la SEC.
La investigación sobre ciberseguridad también ha sugerido que el fabricante de 'software' Qualys Inc y la empresa de energía petrolera Chevron Corp (NYSE:CVX) estaban entre los objetivos de la operación cibernética rusa. Ambas declinaron hacer comentarios sobre la investigación de la SEC.
Alrededor de 18.000 clientes de SolarWinds descargaron una versión pirateada de su 'software', que los ciberdelincuentes manipularon para conseguir un posible acceso futuro. Sin embargo, sólo un pequeño grupo de esos clientes sufrió una actividad de 'hackeo' posterior, lo que sugiere que los atacantes infectaron a muchas más empresas de las que finalmente fueron víctimas.
La SEC envió cartas el mes pasado a las empresas que se cree que han sido afectadas, tras una ronda inicial enviada en junio, según seis fuentes que han visto las cartas.
La segunda oleada de solicitudes se dirigió a los destinatarios de las empresas de la primera ronda que no habían respondido. El número exacto de destinatarios no está claro.
La actual investigación es "sin precedentes" en cuanto a la falta de claridad sobre el objetivo de la SEC en un barrido tan grande, dijo Jina Choi, socio de Morrison (LON:MRW) & Foerster LLP y ex director de la SEC que ha trabajado en casos de ciberseguridad.
Aunque la SEC emitió una guía hace diez años en la que pedía a las empresas que revelaran los 'hackeos' que pudieran ser sustanciales, y luego actualizó esa guía en 2018, la mayoría de las admisiones han sido ambiguas.
Gary Gensler, que asumió el timón de la SEC en abril, ha encargado a la agencia la emisión de nuevos imperativos de divulgación que van desde la ciberseguridad hasta el riesgo climático.
Aunque Reuters informó por primera vez del 'hackeo' hace más de nueve meses, el impacto real de la operación de espionaje digital a gran escala, que según las autoridades estadounidenses procedía de un servicio de inteligencia ruso, sigue siendo en gran medida desconocido.
Los responsables del Gobierno estadounidense han evitado compartir una descripción exhaustiva de lo que se pudo sustraer o de lo que buscaban los rusos, pero lo describieron como una operación de espionaje estatal tradicional.
Decenas de empresas se han referido a los 'hackeos' en sus declaraciones a la SEC, pero muchas citan los incidentes sólo como un ejemplo del tipo de intrusión que podrían sufrir algún día. La mayoría de las empresas que afirman tener instalado el 'software' de SolarWinds añaden que no creen que se hayan sustraído sus datos más sensibles.
John Reed Stark, antiguo director de la oficina de aplicación de la normativa de Internet de la SEC, afirmó que "las empresas tendrán dificultades para responder a estas preguntas, no sólo porque se trata de solicitudes de gran alcance y exhaustividad, sino también porque la SEC seguramente descubrirá algún tipo de error" en lo que han revelado previamente.
(Reporte de Christopher Bing, Chris Prentice y Joseph Menn; edición de Chris Sanders y Edward Tobin; traducción de Flora Gómez en la redacción de Gdansk)