El historial de ciberseguridad de la Comisión de Bolsa y Valores de EE. UU. ya era insoportable antes de que piratearan la cuenta X

El hackeo de la SEC

El año pasado, el organismo de control interno de la agencia lo revisó y descubrió que la agencia no cumplía plenamente con los estándares federales de ciberseguridad, incluido el requisito de que los sistemas públicos admitan la autenticación multifactor. Una revisión independiente separada realizada hace un año encontró debilidades en las medidas de seguridad del consejo, como los protocolos para evitar el acceso no autorizado a la red.

La SEC no es de ninguna manera la única agencia federal que ha sido criticada en los últimos años por defensas laxas en materia de ciberseguridad, pero su papel destacado en la regulación de empresas y mercados en todo Estados Unidos la ha convertido en un objetivo particularmente popular para los piratas informáticos. En 2016, la agencia sufrió un ciberataque que comprometió su base de datos de archivos comerciales, lo que permitió a los piratas informáticos beneficiarse de información no pública, según fiscales estadounidenses.

"Ayer fuimos testigos de la última brecha tecnológica en Washington, que también es un área realmente baja para la SEC", dijo el miércoles el congresista republicano de Arkansas, French Hill, en una reunión del Panel de Activos Digitales de la Cámara de Representantes de Estados Unidos. Dijo que los republicanos del Congreso están enviando una carta al presidente de la SEC, Gary Gensler, solicitando una investigación sobre el ataque. "

El jueves, el senador demócrata Ron Wyden de Oregon y la senadora republicana Cynthia Lummis de Wyoming también pidieron una investigación sobre el incidente de piratería informática. En una carta al inspector general de la SEC, los dos legisladores pidieron una investigación sobre "el aparente fracaso de la SEC en seguir las mejores prácticas de ciberseguridad", incluida la autenticación multifactor.

La SEC se negó a comentar sobre sus políticas de ciberseguridad. El FBI está investigando un incidente el martes en el que un hacker tomó el control de la cuenta de la SEC en X, el predecesor de Twitter. Luego, los piratas informáticos publicaron una publicación falsa en la que afirmaban falsamente que los reguladores habían aprobado planes para un fondo cotizado en bolsa de Bitcoin, lo que provocó un aumento en los precios de Bitcoin. (Un día después, la agencia aprobó el plan ETF).

X dijo en un comunicado que una persona desconocida hackeó la cuenta SEC de X obteniendo números de teléfono relevantes. La declaración también señaló que la SEC no activó la autenticación de dos factores, que se ha convertido en una capa de seguridad estándar para las empresas a medida que aumentan los ciberataques. No está claro por qué la SEC no estableció una autenticación adicional.

La Comisión de Bolsa y Valores de EE. UU. implementó recientemente nuevas reglas para las empresas públicas que les exigen revelar incidentes cibernéticos dentro de los cuatro días hábiles como parte de un esfuerzo más amplio para aumentar la transparencia en las defensas cibernéticas corporativas. En octubre, la SEC también demandó a SolarWinds, que fue pirateada por piratas informáticos rusos en un ataque de 2020 que amenazó a empresas y agencias gubernamentales, acusándola de restar importancia a los riesgos de seguridad y engañar a los inversores.

En una declaración del jueves, Serrin Turner, abogado de Latham & Watkins LLP que representa a SolarWinds, dijo que el hackeo de la SEC del martes "destaca que los controles de seguridad de ninguna organización pueden considerarse perfectamente implementados y por qué los reguladores deben abordar la ciberseguridad con gran cautela y humildad".

El propio Gensler ha señalado que las empresas necesitan reforzar su seguridad digital. En octubre, publicó un recordatorio en X para "mantener sus cuentas financieras a salvo del robo de identidad y el fraude". Una medida que sugirió fue la autenticación multifactor.

En 2022, la Casa Blanca publicó una estrategia de ciberseguridad, instruyendo a las agencias a tomar medidas amplias para proteger mejor la ciberseguridad. La estrategia enfatiza la necesidad de una autenticación multifactor y la describe como "una parte crítica de la base de seguridad del gobierno federal".

El inspector general de la SEC informó en una carta de septiembre que la SEC había logrado algunos avances en la implementación de estas acciones. Pero los informes muestran que todavía tiene retrasos en algunas tareas. Específicamente, en el momento de la auditoría del año pasado, la SEC no había configurado todos sus sistemas públicos para admitir la autenticación multifactor.

El informe del inspector general muestra que la SEC, en cambio, cumplió "en general" porque todos sus sistemas menos uno habían sido migrados para utilizar Login.gov, un sitio web de acceso más amplio del gobierno federal que requiere autenticación de dos factores. Si bien la SEC cree que el riesgo restante del sistema es limitado, el inspector general sostiene que la autenticación antiphishing sigue siendo necesaria para evitar que los piratas informáticos obtengan acceso a las redes de la SEC.

Kearney & Co. realizó una evaluación separada de los controles de seguridad de datos de la SEC y encontró que la agencia no implementó consistentemente procedimientos para restringir el acceso a sus sistemas. La revisión, realizada en 2022, señaló que algunas deficiencias se remontan a cinco años. Se eliminaron fallas específicas, pero el estudio encontró que las vulnerabilidades fueron causadas en parte por las políticas de trabajo desde casa relacionadas con la pandemia de COVID-19. Kearney finalmente concluyó que el programa de seguridad de la información de la SEC no cumplía con la definición federal de "eficaz".

El año pasado, las laxas medidas de seguridad de los datos obligaron a la SEC a desestimar 42 casos de ejecución en sus tribunales internos.

La agencia descubrió que algunos agentes del orden pudieron ver memorandos que se suponía que no debían ver. La SEC dijo en ese momento que lamentaba el error y lo atribuyó a la falta de salvaguardias adecuadas.

En 2016, un grupo de piratas informáticos de Europa del Este violaron la base de datos de documentos corporativos del regulador. Los documentos judiciales muestran que los piratas informáticos robaron informes financieros no públicos de la empresa y los comercializaron, ganando más de 4,1 millones de dólares.

En septiembre, los reguladores recomendaron agregar capacidades de autenticación multifactor a la misma base de datos.