Otro acuerdo de ciberseguridad de la FCA refuerza la tendencia de aplicación de la ley

Un reciente anuncio del Departamento de Justicia de los Estados Unidos (DOJ) pone de relieve el hecho de que el énfasis del gobierno en la aplicación de la ciberseguridad en virtud de la Ley de Reclamaciones Falsas (FCA) no está disminuyendo. Según el comunicado de prensa, cuatro empresas - RTX Corporation (RTX), Raytheon Company (Raytheon), Nightwing Group LLC y Nightwing Intelligence Solutions LLC (conjuntamente, Nightwing) - acordaron pagar 8,4 millones de dólares para resolver un asunto de la FCA derivado de la demanda de un denunciante qui tam que alegaba que Raytheon y su antigua filial no cumplían los requisitos de ciberseguridad en los contratos federales.

El acuerdo con Raytheon

El antiguo director de ingeniería de Raytheon, Branson Kenneth Fowler, Sr., presentó la demanda qui tam en agosto de 2021. Los contratistas y subcontratistas federales de defensa como Raytheon están obligados a implementar ciertos controles de ciberseguridad descritos en la Publicación Especial 800-171 del Instituto Nacional de Estándares y Tecnología(NIST SP 800-171). Pero, según esta demanda, Raytheon supuestamente no cumplió estos requisitos en relación con su trabajo en contratos federales. Las acusaciones se centraban en el sistema de red interno de Raytheon, denominado "DarkWeb". Raytheon supuestamente (a) utilizó DarkWeb para almacenar, transmitir y desarrollar información protegida en relación con su trabajo en ciertos contratos de defensa a pesar de que ese sistema no cumplía con los requisitos de ciberseguridad de NIST SP 800-171; y (b) no desarrolló el plan de seguridad del sistema requerido para este sistema interno.

En particular, Raytheon notificó a ciertos contratistas del gobierno, en mayo de 2020, que creía que su sistema de información no cumplía con las regulaciones federales de ciberseguridad y posteriormente desplegó un sistema de reemplazo, dejando de usar DarkWeb. Pero según el acuerdo, el supuesto incumplimiento por parte de Raytheon de estos requisitos de seguridad obligatorios en DarkWeb hizo falsas todas las reclamaciones por trabajos de contratación federal realizados en DarkWeb.

Los demandados niegan estas acusaciones , pero aceptaron pagar 8,4 millones de dólares para resolverlas. Como denunciante qui tam, el Sr. Fowler recibirá más de 1,5 millones de dólares en relación con el acuerdo.

Por último, la conducta que dio lugar a la demanda qui tamsuit se produjo entre 2015 y 2021, años antes de que Nightwing comprara el negocio de ciberseguridad de RTX en 2024. Esto ilustra el riesgo significativo de responsabilidad del sucesor y subraya la importancia de evaluar el cumplimiento de la ciberseguridad de un objetivo como parte de la diligencia debida.

Recomendaciones

Teniendo en cuenta estos riesgos, los contratistas de defensa y otros receptores de fondos federales (incluidos los colegios y universidades) deben considerar los siguientes pasos para mejorar el cumplimiento de la ciberseguridad y reducir el riesgo de la FCA:

Catalogue y supervise el cumplimiento de todas las normas de ciberseguridad impuestas por el gobierno. Asegúrese de que su organización dispone de una lista completa de todos los requisitos de ciberseguridad y sistemas cubiertos en su organización. Estos requisitos pueden provenir no sólo de contratos gubernamentales principales, sino también de subcontratos, subvenciones u otros programas federales. Esto incluye no sólo el conocimiento permanente de los contratos de la organización, sino también la supervisión y evaluación continuas del programa de ciberseguridad de la organización para identificar y parchear vulnerabilidades y evaluar el cumplimiento de esas normas contractuales de ciberseguridad. Esta evaluación también debe tener en cuenta las relaciones con terceros.
Desarrollar y mantener un programa de cumplimiento sólido y eficaz que aborde las cuestiones de ciberseguridad. En muchas empresas, el programa de cumplimiento y las funciones de seguridad de la información no están bien integrados. Un programa de cumplimiento eficaz abordará los problemas de ciberseguridad y animará a los empleados a informar de ellos. Cuando se identifican problemas, es fundamental escalarlos e investigarlos con prontitud.
Cuando se detecta un incumplimiento de las normas de ciberseguridad, las organizaciones deben evaluar los posibles pasos a seguir. Esto incluye si revelar el asunto al gobierno y cooperar con los investigadores del gobierno. Las organizaciones deben trabajar con un abogado experimentado en este sentido. Trazar proactivamente una estrategia para investigar y responder a posibles incumplimientos puede infundir disciplina al proceso y racionalizar el enfoque de la organización.
Aplicar una diligencia sólida para el cumplimiento de los requisitos de ciberseguridad en las fusiones y adquisiciones. Como muestra este acuerdo, la responsabilidad derivada de una entidad adquirida puede imponerse a la entidad adquirente en algunos casos. Los procesos de diligencia debida deben tratar de identificar los requisitos de ciberseguridad en los contratos (ya sean contratos con la Administración o con agentes privados) y obtener la verificación de su cumplimiento. Si ese nivel de diligencia debida no es posible antes de cerrar un trato, es importante llevar a cabo esa evaluación poco después del cierre para que los problemas puedan ser identificados y remediados con prontitud.

Si tiene preguntas sobre ciberseguridad y la Ley de Reclamaciones Falsas, póngase en contacto con los autores o con su abogado de Foley & Lardner.

Versión ampliada de este artículo publicada en Law360 el 26 de agosto de 2025.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.