La compañía de software en la nube Blackbaud acordó pagar un acuerdo de $ 3 millones por divulgaciones engañosas sobre un ataque de ransomware que ocurrió hace casi tres años, en mayo de 2020.
La empresa pública, que proporciona software de gestión de datos de donantes a organizaciones sin fines de lucro y establecimientos educativos, había fracasado, hasta ahora (se abre en una pestaña nueva)para revelar un ataque de ransomware del que estaba al tanto en ese momento.
Se cree que dicho ataque afectó a más de 13,000 clientes, poniendo en riesgo información de identificación personal como nombres, direcciones, direcciones de correo electrónico y números de teléfono.
Ataque de ransomware 2020 de Blackbaud
La Comisión de Bolsa y Valores de EE. UU. (SEC) explicó (se abre en una pestaña nueva) eso «[…] en agosto de 2020, la compañía presentó un informe trimestral ante la SEC que omitió esta información material sobre el alcance del ataque y caracterizó engañosamente el riesgo de que un atacante obtenga información tan confidencial de donantes como hipotético”.
El jefe de la Unidad de activos criptográficos y cibernéticos de la División de Cumplimiento de la SEC, David Hirsch, señaló que Blackbaud no informó a los inversores de manera precisa y oportuna sobre el ataque de ransomware, una obligación que tiene como empresa pública.
Sin embargo, cumplió con la amenaza y pagó la demanda del ciberdelincuente “con la confirmación de que la copia que quitaron había sido destruida”, citando los datos del cliente como una prioridad clave en su decisión.
Debido a su mala comunicación y eventos posteriores, se descubrió que se habían violado varias secciones y reglas de la Ley de Valores de 1933 y la Ley de Bolsa de Valores de 1934, lo que resultó en una multa civil de $ 3 millones y el cese y desistimiento de Blackbaud de cometer estas violaciones.
La compañía aún no ha hecho un comentario público sobre el acuerdo, ni ha emitido ninguna garantía a los clientes cuyas dudas surgieron luego de que el ataque de ransomware entrara en discusiones públicas.