\n<\/p>\n
Un grupo de piratas inform\u00e1ticos implement\u00f3 una t\u00e1ctica sorprendente despu\u00e9s de infiltrarse en la red de una empresa de software financiero. Informaron la infracci\u00f3n a la Comisi\u00f3n de Bolsa y Valores de EE. UU. (SEC).<\/p>\n
Violaciones de datos.net<\/em> inform\u00f3 inicialmente sobre el incidente, que fue realizado por ALPHV \/ BlackCat, un grupo conocido por violar entidades tan diversas como MGM Resorts y Reddit. Seg\u00fan se informa, los piratas inform\u00e1ticos violaron los servidores de la empresa de tecnolog\u00eda financiera MeridianLink el 7 de noviembre y robaron datos de la empresa sin cifrarlos. Sin embargo, cuando la empresa se neg\u00f3 a negociar directamente, los piratas inform\u00e1ticos aumentaron la presi\u00f3n al presentar un informe ante la SEC.<\/p>\n Lo hicieron citando una nueva norma que la SEC aprob\u00f3 este verano, que exige que las empresas que sean v\u00edctimas de \u201cincidentes materiales de ciberseguridad\u201d los informen a la agencia en un plazo de cuatro d\u00edas h\u00e1biles.<\/p>\n Sin embargo, es posible que el requisito de los cuatro d\u00edas a\u00fan no haya entrado en vigor. Al menos un formulario oficial afirma que la norma entr\u00f3 en vigor 90 d\u00edas despu\u00e9s de la fecha de publicaci\u00f3n en el Registro Federal (parece que se publicaron el 4 de agosto, por lo que esa supuesta fecha de entrada en vigor es el 2 de noviembre) o el 18 de diciembre. Pero el documento del Registro Federal dice , \u201cCon respecto al cumplimiento de los requisitos de divulgaci\u00f3n de incidentes en el Punto 1.05 del Formulario 8\u2013K y en el Formulario 6\u2013K [the part referring to the four-day requirement], todos los registrantes que no sean empresas informantes m\u00e1s peque\u00f1as deben comenzar a cumplir el 18 de diciembre de 2023\u201d. Sum\u00e1ndose a la confusi\u00f3n, Reuters<\/em> inform\u00f3 en octubre que la norma entrar\u00e1 en vigor el 15 de diciembre.<\/p>\n Engadget se acerc\u00f3 a la SEC para aclarar si la regla ya est\u00e1 activa. Actualizaremos este art\u00edculo si recibimos una respuesta.<\/p>\n MeridianLink dijo pitidocomputadora<\/em> que r\u00e1pidamente trabaj\u00f3 para contener la amenaza. \u00abSeg\u00fan nuestra investigaci\u00f3n hasta la fecha, no hemos identificado evidencia de acceso no autorizado a nuestras plataformas de producci\u00f3n, y el incidente ha causado una interrupci\u00f3n m\u00ednima del negocio\u00bb, escribi\u00f3 la compa\u00f1\u00eda. La compa\u00f1\u00eda dice que todav\u00eda est\u00e1 tratando de determinar si se viol\u00f3 alguna informaci\u00f3n personal del consumidor y promete notificar a las partes afectadas si as\u00ed fue.<\/p>\n Independientemente de si la SEC tiene los dientes (o el deseo) de hacer algo sobre el hecho de que MeridianLink no informara el incidente en cuatro d\u00edas h\u00e1biles, la regla podr\u00eda, ir\u00f3nicamente, servir como una nueva herramienta para los ciberatacantes. En lugar de contactar a los clientes o hacer llamadas para reforzar el control y presionar a las empresas para que cumplan con sus demandas, tal vez ahora puedan simplemente delatarlas al T\u00edo Sam.<\/p>\n<\/div>\n