- POR CRAIG A. NEWMAN
Han pasado siete años desde que la Comisión de Bolsa y Valores (SEC, por su sigla en inglés) aconsejó por primera vez a las empresas públicas que dieran aviso a sus inversionistas si habían sufrido un ciberataque que se considerara relevante. Sin embargo, a pesar de la cantidad creciente de hackeos de gravedad, cada año, tan solo unas cuantas empresas reportan sus incidentes a la SEC.
Ahora, la SEC ha emitido una guía actualizada sobre ciberseguridad. De nueva cuenta, advirtió a las empresas públicas que divulgaran sus casos "a tiempo", con el fin de reconocer la "amenaza grave" que el cibercrimen representa para los inversionistas y los mercados de capitales.
Sin embargo, la nueva guía de la SEC no incluye el dilema práctico que enfrentan las empresas públicas que son víctimas de un ciberataque: aparecer en público con noticias de un ciberataque no siempre es una decisión sencilla. Al hacerlo, se puede correr el riesgo de advertírselo a los maleantes y poner en peligro las investigaciones. Las fuerzas del orden suelen sugerir, incluso obligar, a que no se divulgue el incidente. Al mismo tiempo, las empresas saben que están obligadas a proporcionar información oportuna a sus inversionistas sobre cualquier riesgo real que enfrenten sus negocios.
Esta tensión entre la necesidad de cooperar de forma discreta con las fuerzas del orden y la obligación de informar a los inversionistas y los mercados genera un dilema para las empresas públicas. Por desgracia, la guía actualizada de la comisión da poca orientación para que los líderes corporativos enfrenten estas demandas en conflicto. Aunque la guía reconoce que lo más probable es que tome tiempo "discernir sobre las consecuencias" de una intrusión y que "tal vez sea necesario cooperar" con las fuerzas del orden, concluye que una investigación activa no puede ser "por sí misma" una razón para evitar la divulgación de un incidente significativo de ciberseguridad.
Tal vez este dilema explique las razones por las que pocas empresas públicas reportan las intrusiones. En el 2017, tan solo 24 empresas reportaron a la SEC las filtraciones que sufrieron, según Audit Analytics, una firma que da seguimiento a las denuncias sobre seguridad que presentan las empresas. Desde el 2011, cuando la SEC difundió su primera guía cibernética, tan solo 106 empresas han reportado incidentes ante la SEC.
No obstante, en ese mismo período, hubo 4.732 ciberataques a negocios estadounidenses, de acuerdo con investigadores de Privacy Rights Clearinghouse. Aunque una parte de esos negocios eran empresas privadas, es poco probable que las empresas públicas sufrieran tan solo 106 incidentes significativos en ese período.
La SEC ha investigado divulgaciones tardías sobre filtraciones de datos, pero aún tiene que realizar una medida coercitiva en contra de una empresa que no ha revelado un incidente. La agencia está investigando dos filtraciones de datos de Yahoo en el 2013 y el 2014, que la empresa no divulgó sino hasta el 2016, a pesar de que la información sobre 3.000 millones de usuarios estuvo en peligro. Asimismo, Equifax ha reconocido que la SEC está investigando el robo de los números de seguridad social, los números de licencias para conducir, las direcciones y las fechas de nacimiento de casi 145,5 millones de estadounidenses. La filtración se detectó en julio, pero no se reportó ante la SEC ni a los inversionistas sino hasta septiembre.
Entonces, ¿qué les queda por hacer a las empresas públicas que han sufrido ataques?
La solución no es sencilla. Hay quienes creen que la SEC debería adoptar una regulación que otorgue un "permiso" a las empresas para no divulgar en público si recurrieron a las fuerzas del orden. Sin embargo, las corporaciones que tienen un gran incentivo para mantener en secreto los ataques podrían abusar con facilidad de ese tipo de reglas. Fácilmente podrían hacer una remisión tímida de las fuerzas del orden y después usarla como cortina de humo para evitar una divulgación que sería devastadora en potencia.
Incluso las empresas que quieren actuar de forma adecuada están atrapadas. Podrían denunciar un ataque ante las fuerzas del orden y después no obtener respuesta durante semanas o meses, en parte porque no hay suficiente personal que pueda investigar estos hackeos. En algún momento, una empresa tendrá que llegar a la conclusión de que su obligación con los inversionistas se antepone a su responsabilidad como buen ciudadano corporativo de cumplir con las solicitudes de discreción.
Aun si se divulga una filtración, es difícil que las empresas satisfagan las necesidades de la policía. Las empresas hacen frente a gerentes de cartera y asesores de inversiones enfurecidos, quienes tienen la obligación de hacer preguntas complicadas sobre sus inversiones. Si no obtienen respuestas honestas y sinceras, pierden la capacidad de monitorear sus inversiones y, de hecho, se arriesgan a ver cómo sus inversiones pierden valor significativo por no saber qué sucedió en realidad.
Tal vez este conflicto sea en esencia irreconciliable. No obstante, si lo que está en juego es tan importante por la creciente sofisticación de las amenazas que plantea el cibercrimen a las corporaciones estadounidenses, deberíamos tomar en cuenta la nueva guía de la SEC como un punto de partida y una oportunidad colectiva para resolver este problema.
(Craig A. Newman es socio de Patterson Belknap Webb & Tyler LLP, el despacho legal de Nueva York, y presidente del grupo de seguridad de datos y privacidad de la firma).