Microsoft, Intel y el Pentágono sufrieron el mismo ataque: ¿por qué eso no bastó para llevar al desarrollador de Orion ante la justicia?
«Punto de inflexión» superado: el CEO de SolarWinds comenta la retirada por parte de la SEC de la demanda de alto perfil.
La retirada de una demanda de larga duración por parte de la Comisión de Bolsa y Valores de Estados Unidos contra SolarWinds alivió la tensión en torno al papel de los responsables de seguridad de la información, que se vieron presionados tras el incidente SUNBURST. La larga disputa judicial, que duró más de dos años, se convirtió en un símbolo de riesgo para el sector, cuando el regulador intentó atribuir a un solo directivo la responsabilidad por las consecuencias de un ciberataque de gran escala.
La Comisión solicitó al tribunal el cierre del caso junto con SolarWinds y el jefe de protección de la información Timothy Brown. Esta medida se formalizó como una decisión independiente del organismo, sin efecto sobre futuros procedimientos. Sin embargo, el propio cierre del proceso supuso un giro notable tras un periodo en el que el regulador había intentado demostrar que la compañía y su directivo engañaron a los inversores respecto a las medidas de seguridad previas al ataque de 2020.
SolarWinds interpretó la decisión como una confirmación de su postura y recordó que los empleados actuaron de buena fe y no ocultaron la situación real. La dirección de la empresa expresó la esperanza de que el cierre del caso reduzca las preocupaciones de los actores del sector que temían consecuencias legales de gran alcance tras ciberincidentes.
El director general de SolarWinds, Sudhakar Ramakrishna, señaló que el ataque supuso un punto de inflexión para la compañía. En aquella ocasión los atacantes del grupo Cozy Bear penetraron la infraestructura interna de SolarWinds e introdujeron código malicioso en la plataforma Orion. La versión actualizada distribuida fue recibida por alrededor de 18 000 organizaciones en todo el mundo, y unas cien de ellas sufrieron intrusiones adicionales. Entre los afectados estuvieron Microsoft, Intel, FireEye y Cisco, así como los ministerios de Finanzas, Energía, Justicia y Defensa de Estados Unidos.
SolarWinds afirmó que lo ocurrido obligó a la empresa a reconsiderar sus enfoques de desarrollo y a crear su propia iniciativa Secure by Design, destinada a aumentar la confianza en los productos de software y a endurecer las prácticas internas. La compañía subraya que las medidas adoptadas son una consecuencia directa de los hechos ocurridos hace cuatro años.
La demanda de la Comisión de 2023 acusaba de ocultar vulnerabilidades desde 2018 y de intentar minimizar la importancia del incidente tras el descubrimiento de la actualización maliciosa. SolarWinds replicó que el regulador estaba castigando a una organización que a su vez había sido víctima del hackeo. La mayor parte de las acusaciones fue desestimada por el tribunal ya en el verano de 2024, lo que probablemente influyó en la decisión de la Comisión de no proseguir con el caso. Los portavoces del organismo no han hecho comentarios adicionales por ahora.