Por Daniel Monastersky – Director del Centro de Estudios en Ciberseguridad y Protección de Datos de la Universidad del CEMA (CECIB)
La operación de ransomware ALPHV/BlackCat marca un nuevo hito al presentar una denuncia ante la SEC de EE. UU. contra MeridianLink, una empresa de software, por no cumplir con las normativas de divulgación de ciberataques. Este enfoque, utilizado para ejercer presión, resalta la creciente importancia del CISO en las organizaciones.
En un giro sin precedentes, la operación de ransomware ALPHV/BlackCat ha llevado la extorsión a nuevos niveles al presentar una denuncia ante la Comisión de Bolsa y Valores de EE. UU. (SEC) contra una de sus presuntas víctimas, acusándola de no cumplir con la regla de cuatro días para divulgar un ciberataque.
La amenaza se cierne sobre la compañía de software MeridianLink, incluida en la filtración de datos del grupo de ransomware con la advertencia de filtrar supuestamente información robada a menos que se pague un rescate en 24 horas.
MeridianLink, una empresa de tecnología de soluciones digitales para instituciones financieras como bancos, cooperativas de crédito y prestamistas hipotecarios, se encuentra ahora en el epicentro de esta nueva modalidad de chantaje cibernético.
Según informes de DataBreaches.net, el grupo de ransomware ALPHV afirmó haber comprometido la red de MeridianLink el 7 de noviembre, sustrayendo datos de la compañía sin cifrar sistemas.
Ante la aparente falta de respuesta de MeridianLink para negociar el pago del rescate y evitar la filtración de datos, los ciberdelincuentes decidieron aumentar la presión. Presentaron una queja ante la SEC, alegando que MeridianLink no había divulgado un incidente de ciberseguridad que afectaba «datos de clientes e información operativa».
En sus propias palabras, el atacante informó a la SEC que MeridianLink sufrió una «brecha significativa» y no la divulgó según lo requerido en el Formulario 8-K, bajo el Ítem 1.05.
Esta nueva táctica destaca la relevancia creciente del Chief Information Security Officer (CISO) en las organizaciones, ya que la figura del CISO se vuelve vital para anticipar, prevenir y gestionar crisis cibernéticas.
Cabe señalar que, tras una serie de incidentes de seguridad en organizaciones de EE. UU., la SEC adoptó nuevas reglas que exigen a las empresas cotizadas en bolsa informar sobre ciberataques que tengan un impacto material en las decisiones de inversión. La presentación de informes de incidentes de ciberseguridad debe realizarse «cuatro días hábiles después de que un registrante determine que un incidente de ciberseguridad es material», según la nueva normativa.
La operación de ransomware ALPHV también ha proporcionado evidencia de la denuncia presentada ante la SEC, incluyendo la respuesta recibida.
En un comunicado a BleepingComputer, MeridianLink confirmó el ciberataque, asegurando que tomó medidas inmediatas para contener la amenaza y contrató a un equipo de expertos externos para la investigación. La empresa está trabajando para determinar si se vio afectada información personal de consumidores y notificará a las partes afectadas en caso afirmativo.
«Basándonos en nuestra investigación hasta la fecha, no hemos identificado evidencia de acceso no autorizado a nuestras plataformas de producción, y el incidente ha causado una interrupción mínima en nuestras operaciones.» – MeridianLink
Este incidente marca posiblemente la primera confirmación pública de que grupos de ransomware han presentado denuncias a la SEC, subrayando la creciente sofisticación de los actores de amenazas y la necesidad urgente de fortalecer las medidas de seguridad cibernética en las organizaciones.
