¿Triunfo para SolarWinds? Juez desestimó estas acusaciones en su contra
Un juez estadounidense desestimó la mayoría de los argumentos presentados por la Comisión de Bolsa y de Valores (SEC) en contra de SolarWinds, a la que acusaba de haber defraudado a sus inversionistas por el posible encubrimiento de sus debilidades de seguridad. La compañía se vio involucrada en un ciberataque dirigido al gobierno de los Estados Unidos, probablemente provocado por Rusia.
La autoridad financiera de los Estados Unidos había acusado a SolarWinds de “exagerar sus prácticas de ciberseguridad” en sus sistemas de administración de redes antes del ataque y restarle importancia a la gravedad del mismo después de haberse ejecutado. También dijo que SolarWinds ocultó cómo los clientes habían advertido de la actividad maliciosa relacionada con el software Orion.
Al respecto, el juez de distrito, Paul Engelmayer, desestimó la demanda en contra de SolarWinds y el jefe de seguridad de información (CISO), Timothy Brown, al considerar que los reclamos de la SEC se basaban en “retrospectiva y especulación”, según cita Reuters.
Asimismo, consideró que las leyes antifraude no exigen que las advertencias de riesgo contengan la “máxima especificidad”, ya que esto podría ser contraproducente si se otorgaba información extra que los ciberatacantes pudieran utilizar.
El caso se produjo a partir del ataque registrado en 2020, conocido como SunBurst, en el que atacantes vinculados a Rusia utilizaron Orion para infiltrarse en las redes del gobierno estadounidense, como los Departamentos de Comercio, Energía, Seguridad Nacional, Estado y del Tesoro.
En octubre de 2023, la SEC presentó una demanda en contra de SolarWinds y de Timothy Brown, CISO de la compañía, “por fraude y fallos de control interno relacionados con riesgos y vulnerabilidades de ciberseguridad supuestamente conocidos”.
Según la demanda de la autoridad financiera, la compañía y el CISO ignoraron repetidas señales de alarma sobre los riesgos cibernéticos de SolarWinds, al tiempo que ofrecían una imagen falsa del entorno de controles de ciberseguridad de la empresa, privando así a los inversores de información material precisa.
El juez desestimó estas reclamaciones relativas a declaraciones de SolarWinds anteriores al ataque, además de las demandas por fraude de valores basadas en una declaración en el sitio web de la compañía, en la que se promocionaban los controles de seguridad de la empresa.
SolarWinds dijo que estaba satisfecha con la decisión y calificó la reclamación restante contra la empresa de “inexacta desde el punto de vista de los hechos”.
Como autoridad financiera, no es común que la SEC presente demandas relativas a situaciones de ciberseguridad. En su presentación de la demanda contra SolarWinds el año pasado, Gurbir S. Grewal, director de la División de Cumplimiento de la SEC, hizo un llamado a las compañías a “implementar controles sólidos calibrados para sus entornos de riesgo y nivelar con los inversores las preocupaciones conocidas”.