Otro acuerdo sobre ciberseguridad de la FCA refuerza la tendencia a la aplicación de la ley

Un reciente anuncio del Departamento de Justicia de los Estados Unidos (DOJ) destaca el hecho de que el énfasis del gobierno en la aplicación de la ciberseguridad en virtud de la Ley de Reclamaciones Falsas (FCA) no está disminuyendo. Según el comunicado de prensa, cuatro empresas —RTX Corporation (RTX), Raytheon Company (Raytheon), Nightwing Group LLC y Nightwing Intelligence Solutions LLC (en conjunto, Nightwing)— acordaron pagar 8,4 millones de dólares estadounidenses para resolver un asunto relacionado con la FCA derivado de una demanda presentada por un denunciante que alegaba que Raytheon y su antigua filial no habían cumplido los requisitos de ciberseguridad establecidos en los contratos federales.

El acuerdo con Raytheon

El exdirector de ingeniería de Raytheon, Branson Kenneth Fowler, Sr., presentó la demanda qui tam en agosto de 2021. Los contratistas y subcontratistas de defensa federales como Raytheon están obligados a implementar ciertos controles de ciberseguridad descritos en la Publicación Especial 800-171 del Instituto Nacional de Estándares y Tecnología (NIST SP 800-171). Sin embargo, según esta demanda, Raytheon supuestamente no cumplió con estos requisitos en relación con su trabajo en contratos federales. Las acusaciones se centraron en el sistema de red interna de Raytheon, denominado «DarkWeb». Raytheon supuestamente (a) utilizó DarkWeb para almacenar, transmitir y desarrollar información protegida en relación con su trabajo en determinados contratos de defensa, a pesar de que dicho sistema no cumplía los requisitos de ciberseguridad de la NIST SP 800-171; y (b) no desarrolló el plan de seguridad del sistema necesario para este sistema interno.

Cabe destacar que, en mayo de 2020, Raytheon notificó a determinados contratistas gubernamentales que consideraba que su sistema de información no cumplía con la normativa federal en materia de ciberseguridad y, posteriormente, implementó un sistema sustitutivo, dejando de utilizar DarkWeb. Sin embargo, según el acuerdo, el supuesto incumplimiento por parte de Raytheon de la obligación de implementar estos requisitos de seguridad en DarkWeb invalidó todas las reclamaciones relativas a los contratos federales ejecutados en DarkWeb.

Los demandados niegan estas acusaciones, pero acordaron pagar 8,4 millones de dólares estadounidenses para resolverlas. Como denunciante qui tam, el Sr. Fowler recibirá más de 1,5 millones de dólares estadounidenses en relación con el acuerdo.

Por último, la conducta que dio lugar a la demanda qui tam tuvo lugar entre 2015 y 2021, años antes de que Nightwing adquiriera el negocio de ciberseguridad de RTX en 2024. Esto ilustra el importante riesgo que supone la responsabilidad del sucesor y subraya la importancia de evaluar el cumplimiento de la ciberseguridad del objetivo como parte de la diligencia debida.

Recomendaciones

Teniendo en cuenta estos riesgos, los contratistas de defensa y otros beneficiarios de fondos federales (incluidas las universidades) deberían considerar las siguientes medidas para mejorar el cumplimiento de la ciberseguridad y reducir el riesgo de FCA:

1. Catalogue y supervise el cumplimiento de todas las normas de ciberseguridad impuestas por el gobierno. Asegúrese de que su organización disponga de una lista completa de todos los requisitos de ciberseguridad y los sistemas cubiertos en su organización. Estos requisitos pueden provenir no solo de contratos gubernamentales principales, sino también de subcontratos, subvenciones u otros programas federales. Esto incluye no solo el conocimiento continuo de los contratos de la organización, sino también la supervisión y evaluación continuas del programa de ciberseguridad de la organización para identificar y corregir vulnerabilidades y evaluar el cumplimiento de esas normas contractuales de ciberseguridad. Esta evaluación también debe tener en cuenta las relaciones con terceros.
2. Desarrollar y mantener un programa de cumplimiento sólido y eficaz que aborde las cuestiones relacionadas con la ciberseguridad. En muchas empresas, el programa de cumplimiento y las funciones de seguridad de la información no están bien integrados. Un programa de cumplimiento eficaz abordará las preocupaciones en materia de ciberseguridad y animará a los empleados a informar de dichas preocupaciones. Cuando se identifican preocupaciones, es fundamental escalarlas e investigarlas con prontitud.
3. Cuando se identifica un incumplimiento de las normas de ciberseguridad, las organizaciones deben evaluar los posibles pasos a seguir. Esto incluye decidir si revelar el asunto al gobierno y cooperar con los investigadores gubernamentales. Las organizaciones deben trabajar con asesores legales con experiencia en este ámbito. Trazar de forma proactiva una estrategia para investigar y responder a posibles incumplimientos puede inculcar disciplina en el proceso y agilizar el enfoque de la organización.
4. Aplicar una diligencia sólida para el cumplimiento de los requisitos de ciberseguridad en fusiones y adquisiciones. Como demuestra este acuerdo, en algunos casos la responsabilidad derivada de una entidad adquirida puede recaer sobre la entidad adquirente. Los procesos de diligencia debida deben tratar de identificar los requisitos de ciberseguridad en los contratos (ya sean contratos con el gobierno o con actores privados) y obtener la verificación de su cumplimiento. Si no es posible alcanzar ese nivel de diligencia debida antes de cerrar un acuerdo, es importante realizar esa evaluación poco después del cierre, de modo que los problemas puedan identificarse y solucionarse con prontitud.

Si tiene alguna pregunta sobre ciberseguridad y la Ley de Reclamaciones Falsas, póngase en contacto con los autores o con su abogado de Foley & Lardner.

Versión ampliada de este artículo publicada en Law360 el 26 de agosto de 2025.