El último acuerdo sobre ciberseguridad de la FCA demuestra que la aplicación de la ley sigue siendo una prioridad para la Administración Trump

Un reciente anuncio del Departamento de Justicia de los Estados Unidos (DOJ) refuerza la idea de que el cumplimiento de los requisitos de ciberseguridad en virtud de la Ley de Reclamaciones Falsas (FCA) sigue siendo un riesgo constante. Según el comunicado de prensa, el contratista de defensa MORSECORP Inc. (MORSE) acordó pagar 4,6 millones de dólares estadounidenses para resolver un asunto relacionado con la FCA derivado de una demanda presentada por un denunciante que alegaba que MORSE no había cumplido con ciertos requisitos de ciberseguridad del Departamento de Defensa de los Estados Unidos (DOD). Este es el acuerdo más reciente relacionado con la aplicación de la ciberseguridad por parte del DOJ, un tema sobre el que Foley informó anteriormente.

El asentamiento MORSE

El denunciante Kevin Berich, jefe de seguridad de MORSE, presentó una denuncia ante la FCA contra MORSE y su director ejecutivo en enero de 2023. MORSE es una empresa de desarrollo de software que tenía contratos y subcontratos con el Ejército y la Fuerza Aérea de los Estados Unidos. Las regulaciones federales dictaminan que los contratos del Departamento de Defensa, como los celebrados por MORSE, requieren la implementación de controles de ciberseguridad descritos en la Publicación Especial 800-171 del Instituto Nacional de Estándares y Tecnología (NIST SP 800-171). Sin embargo, el Sr. Berich alegó que fue testigo de cómo MORSE incumplía continuamente los controles de la NIST SP 800-171, entre otras cosas, al no utilizar la autenticación multifactorial, utilizar servicios de correo electrónico y videollamadas no conformes y utilizar dispositivos personales de los empleados para acceder a los sistemas de MORSE y transmitir información controlada no clasificada (CUI).

En virtud de la FCA, las denuncias qui tam se presentan bajo sello, se comparten con el Departamento de Justicia y no se comparten con el demandado, de modo que el Departamento de Justicia pueda investigar el asunto. Tras más de dos años de investigación, en marzo de 2025, el Departamento de Justicia anunció un acuerdo con MORSE y el Sr. Berich por 4,6 millones de dólares estadounidenses. Según el anuncio, MORSE admitió que:

• Se utilizó un proveedor externo para el alojamiento del correo electrónico sin asegurarse de que dicho proveedor cumpliera los requisitos de seguridad necesarios.
• No se implementaron todos los controles NIST SP 800-171 ni se mantuvo un plan de seguridad del sistema para los sistemas de información cubiertos.
• Presentó una puntuación autoevaluada de 104 al Departamento de Defensa por su implementación de la norma NIST SP 800-171 y siguió comunicando esa puntuación incluso después de que una auditoría externa notificara a MORSE que no había implementado el 78 % de las medidas de seguridad requeridas y que su puntuación real era de -142.

Cabe destacar que el acuerdo no indica que se produjeran violaciones u otros compromisos de la CUI u otra información protegida; más bien, el caso parece haberse basado en la posibilidad de que se produjeran tales violaciones pudieran ocurrir como resultado del programa de ciberseguridad deficiente de MORSE.

El acuerdo MORSE demuestra el riesgo que supone no dar prioridad a los controles de ciberseguridad, especialmente teniendo en cuenta que las demandas qui tam de la FCA pueden ser presentadas por personas con información privilegiada, como el jefe de seguridad que inició la demanda MORSE. El caso también subraya el enfoque continuo del Departamento de Justicia en la aplicación de la ciberseguridad, que incluye la Iniciativa contra el Fraude Cibernético del Departamento de Justicia de 2021 y parece continuar a toda máquina en la actual administración Trump.

Recomendaciones

Teniendo en cuenta estos riesgos, los contratistas de defensa y otros beneficiarios de fondos federales (incluidas las universidades) deberían considerar las siguientes medidas para mejorar el cumplimiento de la ciberseguridad y reducir el riesgo de FCA:

1. Catalogar y supervisar el cumplimiento de todas las normas de ciberseguridad impuestas por el gobierno. El primer paso es asegurarse de que su organización disponga de una lista exhaustiva de todos los requisitos de ciberseguridad y los sistemas cubiertos en su organización. Estos requisitos pueden provenir no solo de contratos gubernamentales principales, sino también de subcontratos, subvenciones u otros programas federales. Esto incluye no solo el conocimiento continuo de los contratos de la organización, sino también la supervisión y evaluación continuas del programa de ciberseguridad de la organización para identificar y corregir vulnerabilidades y evaluar el cumplimiento de esas normas contractuales de ciberseguridad. Esta evaluación también debe tener en cuenta las relaciones con terceros, como proveedores o prestadores de servicios.
2. Desarrollar y mantener un programa de cumplimiento sólido y eficaz que aborde las cuestiones relacionadas con la ciberseguridad. En muchas empresas, el programa de cumplimiento y las funciones de seguridad de la información no están bien integrados. Un programa de cumplimiento eficaz abordará las preocupaciones en materia de ciberseguridad y animará a los empleados a informar de dichas preocupaciones. Cuando se identifican preocupaciones, es fundamental escalarlas e investigarlas con prontitud. Como ilustra el acuerdo MORSE, es fundamental responder de manera eficaz a las preocupaciones de los empleados.
3. Cuando se identifica un incumplimiento de las normas de ciberseguridad, las organizaciones deben evaluar los posibles pasos a seguir. Esto incluye decidir si revelar el asunto al gobierno y cooperar con los investigadores gubernamentales. Las organizaciones deben trabajar con asesores legales con experiencia en este ámbito. Trazar de forma proactiva una estrategia para investigar y responder a posibles incumplimientos puede inculcar disciplina en el proceso y agilizar el enfoque de la organización.