La SEC: ¿Cómo se protege el protector?
Bien sabemos que el fraude, lamentablemente, existe en todos los ámbitos de la vida. Y en nuestro sector, está a la orden del día con el uso de la tecnología como instrumento para cometer estafas de todo tipo, como los caballos de Troya de acceso remoto (RATs), los ataques de robo de cuentas (ATOs), el phishing, el smishing… entre los más rentables y por citar solo algunos ejemplos. Pero resulta, incluso, más llamativo el uso de la seguridad en sí misma como un intangible valor para el fraude.
Y es que, hace tan solo unas semanas se publicaba en varios medios de comunicación estadounidenses una noticia que, aunque muy local, adquiere especial relevancia por quien es una de las víctimas. A modo de resumen, un jurado federal del Distrito de Columbia ha acusado a un CEO –¿importa el nombre?– de una compañía de servicios de TI de defraudar a la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés), de EE.UU., entre otros clientes, con certificaciones falsas, haciéndola creer que el centro de datos (CPD) de su empresa cumplía con los más altos estándares de seguridad, fiabilidad y disponibilidad. ¿El modus operandi? En concreto, el fraude se centró en una entidad ficticia llamada ‘Uptime Council’, que supuestamente creó para hacer las certificaciones necesarias en aras de satisfacer los requisitos que se exigen para ganar contratos gubernamentales. De esta manera, consiguió un contrato con la SEC por el uso de su CPD en Maryland por el que, entre 2012 y 2018, ésta pagó alrededor de 10,7 millones de dólares a dicha empresa, que se enriqueció a expensas de la fiabilidad, disponibilidad y seguridad de los datos.
El caso está siendo ahora mismo investigado por la Oficina del Inspector General de la SEC y podría suponer, si este director ejecutivo es declarado culpable, una pena máxima de 10 años de prisión por cada cargo de fraude y hasta cinco años por el cargo de declaraciones falsas. Y lejos de pensar en la condena que pueda cumplir esa persona, es relevante tener en cuenta las graves consecuencias que supone este acontecimiento, en particular para agencias como la SEC, que manejan datos tan sensibles que conllevan un gran riesgo, en este caso, para la seguridad de los sistemas financieros. Es más, este hecho resulta especialmente llamativo por el papel que está tomando la SEC en los últimos años, endureciendo sus normas relativas a la gestión de riesgos cibernéticos, la gobernanza y la notificación de incidentes que han sido objeto de controversia, entre otros asuntos, por el deber de divulgación de un ciberincidente importante en un plazo de cuatro días posteriores a la determinación de que dicho incidente es “material”. Entre otras cuestiones, cabría preguntarse hasta qué punto cierto rigor es eficaz en ciberseguridad máxime cuando se mira la paja en el ojo ajeno, siendo, además, la SEC, reciente víctima de un acceso y actividad no autorizados a su cuenta de X (antes Twitter), por el que se publicó un tuit falso que se hacía pasar por su presidente, provocando que el valor del bitcoin se disparara en 1.000 dólares.
Sin duda, de la misma forma que la propia Comisión de Bolsa y Valores estadounidense destacara el año pasado que el caso de SolarWinds –en el que, como es sabido, está acusado de fraude su CISO y la empresa–, es una advertencia de ciberseguridad, debería de serlo para todos. Y es que, la ciberseguridad no solo se está convirtiendo en un motor para el negocio, sino que, además, puede convertirse en sí misma en un jugoso valor para el fraude. Por ello, convendría poner ojo avizor también a todo aquello que no se ve, que queda fuera del encuadre de nuestro plano cotidiano de la ciberprotección, pero que está ahí –como se dice en el mundo cinematográfico–, fuera de campo.