Un grupo de piratas informáticos implementó una táctica sorprendente después de infiltrarse en la red de una empresa de software financiero. Informaron la infracción a la Comisión de Bolsa y Valores de EE. UU. (SEC).
Violaciones de datos.net informó inicialmente sobre el incidente, que fue realizado por ALPHV / BlackCat, un grupo conocido por violar entidades tan diversas como MGM Resorts y Reddit. Según se informa, los piratas informáticos violaron los servidores de la empresa de tecnología financiera MeridianLink el 7 de noviembre y robaron datos de la empresa sin cifrarlos. Sin embargo, cuando la empresa se negó a negociar directamente, los piratas informáticos aumentaron la presión al presentar un informe ante la SEC.
Lo hicieron citando una nueva norma que la SEC aprobó este verano, que exige que las empresas que sean víctimas de “incidentes materiales de ciberseguridad” los informen a la agencia en un plazo de cuatro días hábiles.
Sin embargo, es posible que el requisito de los cuatro días aún no haya entrado en vigor. Al menos un formulario oficial afirma que la norma entró en vigor 90 días después de la fecha de publicación en el Registro Federal (parece que se publicaron el 4 de agosto, por lo que esa supuesta fecha de entrada en vigor es el 2 de noviembre) o el 18 de diciembre. Pero el documento del Registro Federal dice , “Con respecto al cumplimiento de los requisitos de divulgación de incidentes en el Punto 1.05 del Formulario 8–K y en el Formulario 6–K [the part referring to the four-day requirement], todos los registrantes que no sean empresas informantes más pequeñas deben comenzar a cumplir el 18 de diciembre de 2023”. Sumándose a la confusión, Reuters informó en octubre que la norma entrará en vigor el 15 de diciembre.
Engadget se acercó a la SEC para aclarar si la regla ya está activa. Actualizaremos este artículo si recibimos una respuesta.
MeridianLink dijo pitidocomputadora que rápidamente trabajó para contener la amenaza. «Según nuestra investigación hasta la fecha, no hemos identificado evidencia de acceso no autorizado a nuestras plataformas de producción, y el incidente ha causado una interrupción mínima del negocio», escribió la compañía. La compañía dice que todavía está tratando de determinar si se violó alguna información personal del consumidor y promete notificar a las partes afectadas si así fue.
Independientemente de si la SEC tiene los dientes (o el deseo) de hacer algo sobre el hecho de que MeridianLink no informara el incidente en cuatro días hábiles, la regla podría, irónicamente, servir como una nueva herramienta para los ciberatacantes. En lugar de contactar a los clientes o hacer llamadas para reforzar el control y presionar a las empresas para que cumplan con sus demandas, tal vez ahora puedan simplemente delatarlas al Tío Sam.