SEC multa a intermediarios por fallas en sus sistemas de ciberseguridad

La Comisión de Bolsa y Valores multará con miles de dólares a tres empresas financieras que fallaron en proteger los correos electrónicos de sus clientes almacenados en sus archivos de nube digital 

Alejandro Wong García

La Comisión de Bolsa y Valores de Estados Unidos (SEC, por su sigla en inglés) anunció el 30 de agosto que multó a tres firmas financieras junto a sus filiales por fallas en sus políticas y procedimientos de ciberseguridad, que resultaron en hackeos de cuentas de correo electrónico que expusieron información personal de miles de clientes.

Empresas multadas

La SEC castigará a Cetera Advisor Networks LLC, Cetera Investment Services LLC, Cetera Financial Specialists LLC, Cetera Advisors LLC, y Cetera Investment Advisers LLC; a Cambridge Investment Research Inc, Cambridge Investment Research Advisors Inc y KMS Financial Services Inc, los cuales estaban registrados en la Comisión como agentes de bolsa, firmas de asesoría de inversiones o ambos.

Cada empresa acordó que las violaciones imputadas no volverían a ocurrir, aceptando pagar una multa. Cetera Entities pagará una multa de 300,000, Cambridge 250,000 y KMS 200,000 dólares.

También te puede interesar: SEC multa a subsidiaria de JP Morgan Chase & Co

Según el organismo, entre noviembre de 2017 y junio de 2020, los e-mails ubicados en la nube de 60 entidades de Cetera fueron tomados por terceros no autorizados, lo que resultó en la exposición de información de identificación personal de al menos 4,388 clientes.

Cetera Advisors LLC y Cetera Investment Advisers LLC enviaron notificaciones de incumplimiento a los clientes de las empresas que incluían “lenguaje engañoso que sugería que las notificaciones se emitieron mucho antes de lo que realmente fueron después del descubrimiento de los incidentes”.

En el caso de Cambridge, entre enero de 2018 y julio de 2021, los correos electrónicos en la nube de más de 121 representantes de Cambridge fueron infiltrados por sujetos no autorizados —exposición de información crítica de al menos 2,177 clientes—. 

La SEC dijo que la empresa descubrió en 2018 la toma de e-mails y, a pesar de esto, falló en adoptar las medidas de seguridad correctas. 

La filtración de información importante de 4,900 clientes de KMS ocurrió entre septiembre de 2018 y diciembre de 2019, y no adoptó políticas y procedimientos de seguridad adicionales en toda la empresa hasta mayo de 2020. 

También te puede interesar: SEC presenta cargos por fraude en DeFi Money Market

“Los asesores de inversiones y los agentes de bolsa deben cumplir con sus obligaciones con respecto a la protección de la información del cliente”, dijo Kristina Littman, jefa de la Unidad Cibernética de la División de Cumplimiento de la SEC. “No es suficiente escribir una política que requiera medidas de seguridad mejoradas si esos requisitos no se implementan o solo se implementan parcialmente, especialmente frente a ataques conocidos”.