La SEC: ĀæCĆ³mo se protege el protector?
Bien sabemos que el fraude, lamentablemente, existe en todos los Ć”mbitos de la vida. Y en nuestro sector, estĆ” a la orden del dĆa con el uso de la tecnologĆa como instrumento para cometer estafas de todo tipo, como los caballos de Troya de acceso remoto (RATs), los ataques de robo de cuentas (ATOs), el phishing, el smishingā¦ entre los mĆ”s rentables y por citar solo algunos ejemplos. Pero resulta, incluso, mĆ”s llamativo el uso de la seguridad en sĆ misma como un intangible valor para el fraude.
Y es que, hace tan solo unas semanas se publicaba en varios medios de comunicaciĆ³n estadounidenses una noticia que, aunque muy local, adquiere especial relevancia por quien es una de las vĆctimas. A modo de resumen, un jurado federal del Distrito de Columbia ha acusado a un CEO āĀæimporta el nombre?ā de una compaƱĆa de servicios de TI de defraudar a la ComisiĆ³n de Bolsa y Valores (SEC, por sus siglas en inglĆ©s), de EE.UU., entre otros clientes, con certificaciones falsas, haciĆ©ndola creer que el centro de datos (CPD) de su empresa cumplĆa con los mĆ”s altos estĆ”ndares de seguridad, fiabilidad y disponibilidad. ĀæEl modus operandi? En concreto, el fraude se centrĆ³ en una entidad ficticia llamada āUptime Councilā, que supuestamente creĆ³ para hacer las certificaciones necesarias en aras de satisfacer los requisitos que se exigen para ganar contratos gubernamentales. De esta manera, consiguiĆ³ un contrato con la SEC por el uso de su CPD en Maryland por el que, entre 2012 y 2018, Ć©sta pagĆ³ alrededor de 10,7 millones de dĆ³lares a dicha empresa, que se enriqueciĆ³ a expensas de la fiabilidad, disponibilidad y seguridad de los datos.
Ana Adeva
Redactora
Revista SIC
El caso estĆ” siendo ahora mismo investigado por la Oficina del Inspector General de la SEC y podrĆa suponer, si este director ejecutivo es declarado culpable, una pena mĆ”xima de 10 aƱos de prisiĆ³n por cada cargo de fraude y hasta cinco aƱos por el cargo de declaraciones falsas. Y lejos de pensar en la condena que pueda cumplir esa persona, es relevante tener en cuenta las graves consecuencias que supone este acontecimiento, en particular para agencias como la SEC, que manejan datos tan sensibles que conllevan un gran riesgo, en este caso, para la seguridad de los sistemas financieros. Es mĆ”s, este hecho resulta especialmente llamativo por el papel que estĆ” tomando la SEC en los Ćŗltimos aƱos, endureciendo sus normas relativas a la gestiĆ³n de riesgos cibernĆ©ticos, la gobernanza y la notificaciĆ³n de incidentes que han sido objeto de controversia, entre otros asuntos, por el deber de divulgaciĆ³n de un ciberincidente importante en un plazo de cuatro dĆas posteriores a la determinaciĆ³n de que dicho incidente es āmaterialā. Entre otras cuestiones, cabrĆa preguntarse hasta quĆ© punto cierto rigor es eficaz en ciberseguridad mĆ”xime cuando se mira la paja en el ojo ajeno, siendo, ademĆ”s, la SEC, reciente vĆctima de un acceso y actividad no autorizados a su cuenta de X (antes Twitter), por el que se publicĆ³ un tuit falso que se hacĆa pasar por su presidente, provocando que el valor del bitcoin se disparara en 1.000 dĆ³lares.
Sin duda, de la misma forma que la propia ComisiĆ³n de Bolsa y Valores estadounidense destacara el aƱo pasado que el caso de SolarWinds āen el que, como es sabido, estĆ” acusado de fraude su CISO y la empresaā, es una advertencia de ciberseguridad, deberĆa de serlo para todos. Y es que, la ciberseguridad no solo se estĆ” convirtiendo en un motor para el negocio, sino que, ademĆ”s, puede convertirse en sĆ misma en un jugoso valor para el fraude. Por ello, convendrĆa poner ojo avizor tambiĆ©n a todo aquello que no se ve, que queda fuera del encuadre de nuestro plano cotidiano de la ciberprotecciĆ³n, pero que estĆ” ahĆ ācomo se dice en el mundo cinematogrĆ”ficoā, fuera de campo.
