¿Las empresas no revelaron haber sido afectadas por …



La SEC ha enviado cartas a algunas firmas de inversión y compañías que cotizan en bolsa en busca de información, dice Reuters.

La Comisión de Bolsa y Valores de EE. UU. (SEC) habría abierto una investigación sobre si algunas empresas que se vieron afectadas por la violación de SolarWinds no revelaron ese hecho.

La organización de noticias Reuters informó el lunes que la agencia envió cartas a varias firmas de inversión y compañías que cotizan en bolsa la semana pasada, solicitando información voluntaria sobre si habían sido víctimas de la violación de SolarWinds. La SEC requiere que las organizaciones revelen cualquier evento, incluidas las violaciones de seguridad, que puedan afectar los precios de las acciones.

La SEC también está investigando si las empresas que se vieron afectadas por la violación habían experimentado algún tipo de incumplimiento de los controles de seguridad internos. Además, la agencia está examinando las políticas que algunas de estas organizaciones tenían para proteger los datos de los consumidores, según Reuters, citando a dos fuentes anónimas que dijo estaban cercanas a la investigación.

Las organizaciones que respondan a la carta de la SEC y proporcionen voluntariamente detalles de cualquier incumplimiento que pudieran haber experimentado debido a la intrusión de SolarWinds no enfrentarán acciones de cumplimiento, dijo Reuters, citando sus fuentes.

Lo que no está claro es si se tomarán medidas contra las organizaciones que se niegan a responder o proporcionar detalles de cualquier compromiso que puedan haber experimentado. Tampoco está claro por qué la SEC cree que las empresas a las que envió las cartas de investigación se vieron afectadas por la violación de SolarWinds. La SEC no respondió de inmediato a un correo electrónico de Darkish Examining en el que se solicitaba más información sobre la investigación informada.

La brecha en SolarWinds, que comenzó a principios de 2019 pero solo se descubrió en diciembre de 2020, resultó en la distribución de malware a casi 18,000 de los clientes de la compañía en todo el mundo. Algunos de ellos, incluidas nueve agencias federales de EE. UU. Y numerosas empresas privadas y firmas de tecnología como FireEye y Microsoft, fueron posteriormente blanco de más compromisos y robo de datos.

Las autoridades estadounidenses han culpado al servicio de inteligencia exterior de Rusia (SVR) de toda la campaña, que han dicho que se llevó a cabo con fines de ciberespionaje. Algunos expertos en seguridad creen que la cantidad de organizaciones que se vieron afectadas por la violación probablemente sea mayor de lo que se conoce.

El propio SolarWinds ha descrito que la violación comenzó en enero de 2019 o casi dos años antes de que la compañía descubriera la intrusión, y eso solo después de que FireEye le notificara sobre un posible compromiso. La compañía dice que el ataque comenzó cuando los actores de amenazas obtuvieron acceso a su entorno de desarrollo de application y colocaron un malware llamado «Sunspot» en un archivo de código fuente. Aún no está claro cómo los actores de amenazas pudieron haber obtenido acceso inicial al entorno de construcción de la empresa. Posteriormente, los atacantes utilizaron Sunspot para insertar un troyano llamado Sunburst / Solarigate en las compilaciones de un producto de administración de red SolarWinds llamado Orion. Esas actualizaciones de program se enviaron a miles de clientes de SolarWinds.

El ataque SolarWinds ha centrado una atención significant en la seguridad de la cadena de suministro, especialmente dentro de las agencias del gobierno federal. En un informe posterior al incidente de SolarWinds, el Oficina de Contabilidad del Gobierno (GAO) describió que ninguna de las 23 agencias civiles federales había implementado completamente las mejores prácticas para gestionar los riesgos dentro de la cadena de suministro de tecnologías de la información y la comunicación. Según la GAO, solo cinco agencias tienen una estrategia de gestión de riesgos de la cadena de suministro (SCRM) para toda la empresa y solo cinco han establecido una supervisión ejecutiva sobre la función. Sin embargo, ninguna agencia tiene un proceso serious para realizar evaluaciones de los riesgos de la cadena de suministro en toda la agencia. La GAO ha hecho unas 145 recomendaciones a todas las agencias civiles federales sobre cómo abordar mejor los riesgos de la cadena de suministro.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original