• Juan Nicolás Laverde jlaverde@bu.com.co

jueves, 14 de diciembre de 2023

La Securities and Exchange Commission (“SEC”) de Estados Unidos supervisa el mercado de capitales y resguarda los intereses de los inversores. Desarrolla esta misión mediante investigaciones a compañías listadas, requiriéndoles información, imponiendo órdenes y aplicando sanciones de conformidad con el Securities Exchange Act de 1934. La SEC recientemente emitió regulaciones que exigen a las empresas listadas informar en un plazo de cuatro días sobre violaciones de ciberseguridad, considerando la relevancia de la información para el mercado. En octubre pasado la SEC presentó una demanda contra SolarWinds y su Chief Information Security Officer (“CISO”), en conexión con el ciberataque de 2020 atribuido a agentes rusos.

¿Qué hace SolarWinds y por qué su ciberataque en 2020 fue tan grave?

En diciembre de 2020, SolarWinds, empresa especializada en software para la gestión empresarial, fue objeto de un ciberataque masivo. Los atacantes comprometieron uno de sus software y accedieron a los sistemas de alrededor de 33,000 de sus clientes, entidades públicas y privadas. Aunque los atacantes insertaron un malware que les permitiría acceder a sistemas de seguridad y extraer información confidencial, los detalles de la extracción aún no están disponibles debido al carácter reservado de la investigación. Este ciberataque fue conocido como uno de los peores de la historia, pues muchos de los clientes de SolarWinds hacen parte del gobierno de Estados Unidos.

¿Cuáles fueron los fundamentos de la demanda y su relevancia?

La demanda de la SEC contra SolarWinds y su CISO se fundamenta en el presunto acto de ocultar información al mercado sobre los riesgos de ciberseguridad durante el ciberataque de 2020, junto con la falta de medidas de seguridad adecuadas, lo que puso en riesgo a los inversores. Este caso es relevante por ser la primera vez que la SEC formula cargos contra una empresa pública por falta de transparencia en un incidente de ciberseguridad. Además, establece un precedente al responsabilizar al CISO, abriendo la posibilidad de que en el futuro otros CISOs sean objeto de demandas y sanciones. Las opiniones varían: algunos temen que las compañías se abstengan de revelar vulnerabilidades e información interna sobre riesgos, mientras que otros ven un precedente para fomentar medidas más seguras y evitar sanciones.

¿Por qué puede ser relevante para Colombia?

RTA/: Considerando que la SEC somete a evaluación los controles de ciberseguridad de las empresas que gestionan o invierten recursos del público, su enfoque regulatorio podría servir de modelo para autoridades en Colombia. Este interés, compartido por entidades reguladoras en todo el mundo, apunta a prevenir posibles vulnerabilidades que podrían comprometer la información asociada a los recursos del público.

Colombia podría considerar los acontecimientos recientes y el cambio normativo en Estados Unidos, generando que la Superintendencia Financiera se interese en ajustar y fortalecer las obligaciones para empresas y CISOs. Esto podría resultar en una mayor regulación o la imposición de sanciones a aquellas empresas y CISOs que no adopten medidas robustas o se abstengan de revelar al mercado información material (i.e., aquella tenida en cuenta por un inversionista prudente y diligente al momento de comprar, vender y/o conservar los valores del emisor, o al momento de ejercer los derechos políticos inherentes a tales valores). De igual forma, las compañías listadas en la Bolsa de Valores de Colombia y sus CISOs podrían enfrentar una mayor responsabilidad debido a la sensibilidad de los recursos que administran, la información que manejan y la afectación que podría generar al mercado.