Búsqueda de Ciberamenazas

Intimidación detenida

Por qué los nuevos requisitos de divulgación de información de Estados Unidos funcionan para los defensores, no para los delincuentes

Dado que la ciberdelincuencia, especialmente el ransomware, ha aumentado drásticamente en los últimos 20 años, no debería sorprender que tanto las investigaciones penales como las normativas financieras hayan acompañado a esta oleada de delitos, más rápido en algunas regiones del mundo y más despacio en otras. Mientras Estados Unidos se prepara para unos plazos más estrictos de notificación de incidentes de ciberseguridad por parte de la Comisión del Mercado de Valores de Estados Unidos (SEC), y las normas definitivas de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) sobre notificación de pagos de ransomware y ataques a infraestructuras críticas, surge una nueva preocupación entre algunas partes: ¿Intentarán los delincuentes utilizar estas nuevas normas contra nosotros?

Cómo empezó

Veamos un caso anterior de atacantes que intentaron utilizar la normativa para abusar aún más de las víctimas. Los esfuerzos por regular la forma en que las empresas gestionan las violaciones y filtraciones de datos comenzaron en el lugar previsiblemente favorable a la regulación: Europa. Todos conocemos ya el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, la información personal que protege y las cuantiosas multas que pueden imponerse por infringirlo. Algunos de nosotros incluso culpamos a esas normas de los molestos avisos de cookies, pero no es culpa de la RGPD, atribuyámoslos a una ley diferente, la Directiva sobre privacidad electrónica. La RGPD no cubre el mismo material que la normativa que vamos a debatir, pero existe un importante paralelismo en la forma en que los malos intentaron abusar del proceso.

A los pocos meses de la aplicación oficial del RGPD en mayo de 2018, empezamos a ver más grupos de ransomware que no solo empezaban a cifrar los servidores y bases de datos comprometidos, sino que también robaban la información para utilizarla en los llamados ataques de “doble extorsión”. En otras palabras, los atacantes no sólo extorsionaban a las víctimas para que pagaran por las claves de descifrado, sino también para que no publicaran sus archivos confidenciales. Además, también vimos a atacantes intentar “amenazas triples”, lo que significa que los atacantes amenazaban no solo con divulgar públicamente los archivos confidenciales de la víctima, sino que también denunciarían a la víctima ante las autoridades por violar la RGPD si la víctima no pagaba por las claves de descifrado.

¿Fue eficaz? Como muchas cosas que observamos en el ecosistema de la ciberdelincuencia, hay mucha experimentación por parte de los actores de las amenazas para encontrar los planes de extorsión más rentables, eficaces y exitosos. Los que resultan lucrativos se copian y se repiten. No tenemos motivos para creer que las amenazas del RGPD tuvieran algún impacto en el hecho de que las víctimas pagaran o no, ya que la táctica prácticamente ha desaparecido. La “doble extorsión” estaba aquí para quedarse, pero los delincuentes consideraron innecesaria o ineficaz la amenaza adicional de informar sobre la RGPD.

Cómo va la cosa

Estados Unidos suele ser más reacio que Europa a meterse en la regulación directa del sector privado, y el país es un complejo y extraño mosaico normativo gracias a que gran parte del trabajo pesado de la elaboración de normas se deja en manos de los estados, en lugar de gestionarse a nivel federal. Sin embargo, parece que la actual oleada de ciberdelincuencia está teniendo un impacto financiero lo suficientemente importante en la industria estadounidense como para que se estén elaborando normativas en aquellos ámbitos para los que se permite la supervisión a nivel federal, es decir, para las infraestructuras críticas y para las empresas que cotizan en bolsa.

Ahora existe la preocupación de que estas normativas puedan convertirse en armas, de forma similar a los intentos de convertir en armas la RGPD hace años. ¿Podrían los intentos reguladores de proteger a los accionistas, al público y a los clientes de las víctimas de la ciberdelincuencia acabar empeorando las cosas?

De hecho, ya ha habido un intento prematuro de intentar aprovechar las nuevas normas de la SEC relativas a la divulgación de incidentes de ciberseguridad, por parte del sindicato criminal ALPHV/BlackCat. En noviembre de 2023, ALPHV comprometió la red de MeridianLink, una empresa pública de FinTech con sede en California. Aunque no es un fenómeno nuevo que los grupos delictivos dedicados al ransomware utilicen la extorsión para intentar que la víctima pague, puede que hayamos sido testigos del primer intento documentado de utilizar la nueva normativa estadounidense como palanca.

En concreto, ALPHV decidió que MeridianLink no atendía a sus demandas tras un ataque inicial a su red. A continuación, el actor de la amenaza presentó supuestamente una queja ante la SEC porque MeridianLink no había revelado una “violación material” a sus inversores en el formulario 8-K “en el plazo estipulado de cuatro días hábiles, tal y como exigen las nuevas normas de la SEC”, salvo, por supuesto, que la fecha de cumplimiento de la nueva Norma Final de la SEC relativa a la revelación de incidentes materiales de ciberseguridad no entra en vigor hasta el 18 de diciembre, y los daños supuestamente infligidos por ALPHV pueden no ajustarse a la definición percibida de acontecimiento “material” del que debe informarse a los accionistas.

La pregunta, una vez más, es: ¿será esto eficaz? ¿Amenazarán los delincuentes con denunciar a las víctimas ante las autoridades por presunto incumplimiento, ejerciendo una presión adicional sobre esas víctimas para que paguen los rescates? Analicemos más detenidamente las nuevas normas para evaluar la eficacia potencial de estas amenazas.

CIRCIA y la SEC: ¿Qué hay de nuevo?

La Ley de Notificación de Incidentes Cibernéticos en Infraestructuras Críticas de 2022 (CIRCIA), que se aprobó en marzo de 2022 y sobre la que la CISA tiene previsto publicar sus Normas Finales a más tardar en marzo de 2024, obliga a las organizaciones de los sectores público y privado que hagan negocios con las ramas de infraestructuras críticas del gobierno federal (una parte muy amplia de empresas estadounidenses, por cierto) a notificar a la CISA los incidentes cibernéticos contemplados en la Ley (en un plazo de 72 horas) y los pagos de rescates (en un plazo de 24 horas). La CISA es una rama del Departamento de Seguridad Nacional (DHS). Los sectores cubiertos son:

  • Químico
  • Instalaciones comerciales
  • Comunicaciones
  • Fabricación crítica
  • Presas
  • Bases Industriales de Defensa
  • Servicios de emergencia
  • Energía
  • Servicios Financieros
  • Alimentación y agricultura
  • Instalaciones gubernamentales
  • Sanidad y Salud Pública
  • Tecnología de la Información
  • Reactores, materiales y residuos nucleares
  • Sistemas de transporte
  • Sistemas de agua y aguas residuales

Mientras tanto, en la SEC, el 26 de julio se aprobó la normativa final relativa a la gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes por parte de las empresas públicas (la “Norma Final“), que entró en vigor el 5 de septiembre de 2023.

La Norma Final exige a las empresas públicas sujetas a los requisitos de información de la Ley del Mercado de Valores de 1934 (modificada) que informen de los incidentes de ciberseguridad “importantes” en el plazo de cuatro días hábiles desde la determinación por parte de la empresa de que el incidente de ciberseguridad es importante en el Formulario 8-K como punto 1.05 (con excepciones limitadas relativas a riesgos sustanciales para la seguridad nacional o la seguridad pública).

Además, la Norma Final exige nuevas divulgaciones anuales en el Formulario 10-K sobre la gestión y estrategia de los riesgos de ciberseguridad de una empresa, así como sobre la gobernanza de la ciberseguridad de una empresa. Del mismo modo, los Emisores Privados Extranjeros (FPI) deben proporcionar divulgaciones anuales similares en sus informes anuales del Formulario 20-F y divulgaciones de incidentes materiales de ciberseguridad en el Formulario 6-K.

La fecha de cumplimiento de los nuevos requisitos de divulgación de incidentes cibernéticos en el Formulario 8-K y el Formulario 6-K comienza el 18 de diciembre de 2023 para la mayoría de las empresas públicas, mientras que la fecha de cumplimiento de las nuevas divulgaciones anuales de ciberseguridad comienza con el informe anual de una empresa pública en el Formulario 10-K o el Formulario 20-F para el año fiscal que finaliza el 15 de diciembre de 2023 o después.

Empezando por CIRCIA, en mi opinión aborda tres problemas principales. En primer lugar, notifica a la CISA que se está produciendo un ataque que podría comprometer la seguridad nacional y le permite “llamar a la caballería” para que preste asistencia a la víctima con prontitud. En segundo lugar, alerta a la CISA de nuevos ataques, de modo que puedan ponerse en contacto de forma proactiva con otros operadores de infraestructuras críticas para alertarles o proporcionarles ayuda para defender sus infraestructuras contra los mismos atacantes o similares. En tercer lugar, permite a la CISA captar el número de ataques y conocer el importe de los rescates pagados.

Como experto en esta área, y alguien que discute frecuentemente sobre política con muchos en el gobierno, el mundo académico y el sector privado, uno de los mayores problemas a los que nos enfrentamos es llegar a comprender el alcance y la escala de los ataques que nos inundan a diario. La mayoría de las naciones son incapaces de financiar una experiencia policial acorde con la creciente escala y los daños infligidos mediante ciberataques si no se denuncian estos delitos. Esto es así en todo el mundo. Estas nuevas normas son el intento de una nación de dimensionar este problema para las entidades cubiertas.

Hasta la fecha, muchas organizaciones temen que si denuncian estos incidentes a las fuerzas de seguridad, el ataque pueda hacerse público o incluso provocar que los delincuentes causen intencionadamente más estragos en sus sistemas. Al fin y al cabo, si la historia de un ataque o una violación se filtra públicamente, puede afectar negativamente a la confianza de los consumidores, dañar los precios de las acciones y, posiblemente, perturbar las negociaciones con los propios delincuentes.

Las normas CIRCIA ayudarán a la CISA a medir la magnitud de estos ataques y no exigen la divulgación pública, solo la notificación a la propia CISA. Esto debería ayudar a mitigar el miedo a comprometerse con las autoridades, permitir una evaluación más precisa de los daños y permitir a CISA y a sus socios proporcionar ayuda oportuna en estas crisis tan comunes.

Mientras tanto, los cambios en las normas de la SEC están más preocupados por la “divulgación coherente, comparable y útil para la toma de decisiones” a los inversores en relación con los problemas de ciberseguridad que son “importantes” para la empresa. Los formularios 8-K y 10-K de la SEC están a disposición del público, por lo que pueden tener más impacto en la reputación de una organización, pero revelar los problemas materiales de ciberseguridad ya era obligatorio antes de la nueva Norma Definitiva. Desde mi punto de vista, el principal cambio que debe preocupar al lector para los supuestos presentados en este artículo es que una empresa pública debe revelar un incidente material de ciberseguridad en el plazo de cuatro días hábiles tras haber determinado que un incidente es de hecho “material” y ahora debe incluirse cierta información específica en el punto 1.05 del Formulario 8-K, mientras que antes una empresa podía revelar el incidente más de cuatro días hábiles después de dicha determinación y la información revelada no era coherente entre empresas.

Entonces… ¿Fue eficaz la amenaza?

A menos que creamos que los operadores del ransomware APLHV eran lo bastante astutos como para conocer la nueva Norma Final de la SEC y, sin embargo, no lo bastante listos como para entender cómo funciona un calendario, parece que la incursión de noviembre contra MeridianLink fue una especie de intento de weaponización de la propia normativa, para ver si puede utilizarse como amenaza eficaz contra las víctimas una vez que la nueva Norma Final de la SEC entre realmente en vigor. Teniendo en cuenta que fracasaron, parece que no fue tan eficaz como esperaban.

Esto se debe a varias razones. Las organizaciones que tienen que presentar los informes 10-K y 8-K ya tienen que informar de un incidente de ciberseguridad si es material, y es poco probable que esa determinación se haya tomado mientras aún defienden sus activos y determinan el alcance de los daños. (Es de esperar que las empresas públicas no vayan a infringir la ley incumpliendo las normas de la SEC). Además, en la mayoría de los ataques de ransomware, los delincuentes ya han robado los datos, además de haberlos cifrado. Su intención es amenazar con publicar la información públicamente si no pagas el rescate, por lo que denunciarte a la SEC por incumplimiento no es probable que suponga ninguna ventaja adicional en sus negociaciones, aunque contemplaras el incumplimiento.

La buena noticia es que las organizaciones afectadas tienen poco de qué preocuparse por estas amenazas. El FBI y otros organismos encargados de hacer cumplir la ley no están ahí para delatar públicamente a las víctimas, sino que pretenden proporcionar asesoramiento, asistencia y, lo que es más importante, un registro del delito que pueda ayudar tanto a la víctima como a nuestra seguridad colectiva. El papel de CIRCIA no es castigar, sino garantizar que CISA disponga de la información necesaria para proteger la seguridad nacional de Estados Unidos y proporcionar ayuda cuando sea posible. Incluso la SEC, que tiene poder para multar e imponer sanciones civiles por incumplimiento, simplemente intenta garantizar que los inversores comprendan las repercusiones de estos ataques devastadores, no como castigo, sino como mecanismo de protección. Esto debería animar a las organizaciones a tomarse en serio su seguridad de la información, y quizás a redoblar los esfuerzos para aumentar su preparación en materia de seguridad.

Anímate

Unas defensas eficaces, requieren una comprensión clara de las amenazas a las que nos enfrentamos, cómo se desarrollan y cómo evolucionan con el tiempo. Ya sea la policía, el gobierno federal o tu fabricante de seguridad del sector privado, todos dependemos de información actualizada y precisa para fundamentar nuestras defensas. Lo ideal sería que estos cambios normativos nos ayudaran a tener un conocimiento más fiable de las amenazas a las que nos enfrentamos. Pongamos todos de nuestra parte para no dejar que los delincuentes conviertan las normas destinadas a protegernos en armas para aumentar la presión sobre las víctimas a fin de que capitulen ante sus exigencias.

Descargo de responsabilidad

El contenido de esta publicación tiene solo fines informativos y refleja las opiniones del autor. Sophos no ofrece asesoramiento legal ni profesional ni opiniones sobre hechos o asuntos concretos. Sophos no asume ninguna responsabilidad en relación con el uso de esta publicación, y debes buscar tu propio asesoramiento u opinión legal o profesional con respecto a cualquier requisito de información de la SEC o CIRCIA.