Multa de la SEC a 4 empresas por caso SolarWinds

La Comisión del Mercado de Valores de Estados Unidos (SEC) ha acusado a cuatro empresas públicas (Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd y Mimecast Limited), que han aceptado pagar casi 7 millones de dólares como resultado de una investigación, en la que se concluyó que estas empresas habían realizado divulgaciones materialmente engañosas sobre riesgos e intrusiones de ciberseguridad que habían sufrido. Esto supuso dejar a sus inversores sin suficiente información sobre el verdadero alcance de los incidentes. Además, la SEC ha multado a Unisys por violaciones de los controles y procedimientos de divulgación.

Según las resoluciones de la SEC, Unisys, Avaya y Check Point en 2020, y Mimecast en 2021, supieron que los atacantes, que probablemente habían comprometido el software Orion de SolarWinds en 2020, también habían accedido a sus sistemas sin autorización, pero cada uno minimizó negligentemente su incidente de ciberseguridad en sus declaraciones públicas.

Finalmente, las órdenes de la SEC concluyen que cada empresa infringió ciertas disposiciones de la Ley de Valores de 1933, Ley de Intercambio de Valores de 1934 y las normas relacionadas con ellas. Sin admitir ni negar la sentencia, cada empresa ha accedido a detener y evitar futuras violaciones de las disposiciones mencionadas y pagar las sanciones correspondientes. Además, han colaborad durante la investigación, ofreciendo voluntariamente análisis o informes que han ayudado a acelerar el proceso y adoptando medidas voluntarias para mejorar sus controles de ciberseguridad.