La compañía de software en la nube Blackbaud acordó pagar un acuerdo de € 3 millones por divulgaciones engañosas sobre un ataque de ransomware que ocurrió hace casi tres años en mayo de 2020.
La empresa pública, que proporciona software de gestión de datos de donantes a organizaciones sin fines de lucro e instituciones educativas, no había revelado hasta ahora (opens in a new tab) un ataque de ransomware del que estaba al tanto en ese momento.
Este ataque supuestamente afectó a más de 13,000 clientes, poniendo en riesgo información de identificación personal como nombres, direcciones, direcciones de correo electrónico y números de teléfono.
Ataque de ransomware Blackbaud en 2020
La Comisión de Bolsa y Valores de los Estados Unidos (SEC) explicó (opens in a new tab) que " en agosto de 2020, la empresa presentó un informe trimestral ante la SEC que omitió esta importante información sobre el alcance del ataque y caracterizó engañosamente el riesgo de que un atacante obtenga información tan confidencial de donantes como hipotético.
El jefe de la Unidad de activos criptográficos y cibernéticos de la División de Cumplimiento de la SEC, David Hirsch, señaló que Blackbaud no notificó de manera precisa y oportuna a los inversores sobre el ataque de ransomware, una obligación que tiene como empresa pública.
Sin embargo, cumplió con la amenaza y pagó la demanda del ciberdelincuente "con la confirmación de que la copia que habían borrado había sido destruida", citando los datos del cliente como una prioridad clave en su decisión.
Debido a su falta de comunicación y los eventos que siguieron, se violaron varias secciones y reglas de la Ley de Valores de 1933 y la Ley de Bolsa de Valores de 1934, lo que resultó en una multa civil de € 3 millones y la detención e indulgencia de Blackbaud para cometer estas violaciones.
La compañía aún no ha comentado públicamente sobre el acuerdo, ni ha tranquilizado a los clientes cuyas dudas surgieron luego de que el ataque de ransomware entrara en discusiones públicas.