Regulador estadounidense establece plazo de cuatro días para denunciar ciberataques

Las empresas afectadas por ataques cibernéticos cuentan con un plazo de cuatro días para divulgar públicamente el impacto en caso de ser significativo, bajo las nuevas y controvertidas reglas aprobadas el miércoles por la Comisión de Bolsa y Valores de Estados Unidos, (SEC, su sigla en inglés). 

Aquellas normas, propuestas el año pasado y enérgicamente impugnadas por organizaciones comerciales y empresas, exige que las empresas que cotizan en bolsa presenten los detalles de los ataques cibernéticos dentro de los cuatro días posteriores a la identificación de que tiene un impacto material.

En Chile, el proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información establece la obligación de reportar incidentes en un plazo inferior a tres horas desde que se tuvo conocimiento del evento. Sin embargo, entre las indicaciones ingresadas a la tramitación se establecerían plazos más amplios.

Las reglas de divulgación del regulador de mercados son su esfuerzo más reciente para aumentar la transparencia de las amenazas cibernéticas después de años de ataques implacables contra empresas por parte de bandas criminales y piratas informáticos respaldados por Estados nacionales. También buscan abordar las brechas en las divulgaciones de seguridad cibernética existentes, según la agencia.

Las empresas que cotizan en bolsa actualmente dependen de las pautas de la SEC sobre cuándo abordar los riesgos e incidentes cibernéticos que se consideran relevantes para los inversionistas y eso ha creado una diversidad de informes de incidentes cibernéticos. Las empresas que reportan incidentes brindan diferentes niveles de detalles sobre el impacto y su respuesta. Algunos incidentes cibernéticos no se informan de manera oportuna, mientras que otros no se divulgan en lo absoluto.

Las empresas podrían retrasar la divulgación si revelar información sobre un ataque representa un riesgo significativo para la seguridad nacional o la seguridad pública, según lo determine el fiscal general de EEUU. La postergación, sumada a la versión más reciente de las reglas, responde a preocupaciones empresariales respecto de la propuesta inicial de la SEC. Los grupos empresariales presionaron por la cláusula de demora con el argumento de que hacer pública prematuramente una vulnerabilidad o incidente de seguridad cibernética podría obstaculizar una investigación policial en curso.

Otras propuestas

Si bien para algunos el nuevo requisito no revierte mayores dificultades, otros, como la asociación comercial Information Technology Industry Council, consideran que el plazo de cuatro días es demasiado corto porque es poco probable que las empresas sepan mucho sobre el incidente en ese momento.

Denyette DePierro, líder de servicios financieros de EEUU del departamento de políticas públicas de Amazon Web Services, instó a la SEC a reconsiderar la regla de informes de cuatro días. “La extensión de los plazos para el informe inicial de incidentes permitiría divulgaciones más completas y precisas, y minimizaría el riesgo de impactos adversos en los participantes del mercado y los inversionistas al responder a incidentes activos en plazos cortos”, escribió DePierro, en una carta a la comisión en junio.

La SEC ha propuesto otra regla de informes cibernéticos para asesores y fondos de inversión, además de una regla similar para las bolsas de valores y otros actores del mercado de valores de EEUU.

Las empresas que no proporcionen la información de forma pertinente sobre eventos cibernéticos pueden enfrentarse a investigaciones y multas de la SEC por engañar a los inversionistas.