El Departamento de Justicia presenta cargos contra un antiguo ejecutivo en un caso penal por presunto fraude en materia de cumplimiento de la normativa de ciberseguridad.

Una acusación reciente subraya el interés del Departamento de Justicia de los Estados Unidos (DOJ) por el cumplimiento de la normativa de ciberseguridad en los contratos federales y la voluntad del DOJ de ampliar la aplicación de la ley más allá de la Ley de Reclamaciones Falsas (véanse los informes anteriores de Foley aquí y aquí) para presentar cargos penales contra personas físicas. El 10 de diciembre de 2025, el DOJ anunció que un gran jurado federal del Distrito de Columbia había acusado a Danielle Hillmer, antigua directora sénior de una empresa contratista del Gobierno con sede en Virginia, de fraude grave al Gobierno, fraude electrónico y obstrucción de una auditoría federal. El Departamento de Justicia alega que Hillmer falseó que la plataforma basada en la nube de su empresa, utilizada por múltiples agencias federales, cumplía con las normas de ciberseguridad obligatorias, e impidió la supervisión al ocultar graves fallos de seguridad. La conducta parece haber tenido lugar cuando Hillmer trabajaba en Accenture y gestionaba sus productos de servicios en la nube.

La acusación contra Hillmer

Según la acusación, Hillmer supuestamente participó en un plan de varios años para defraudar a los Estados Unidos obstruyendo los procesos de auditoría y engañando a las agencias federales sobre los controles y protecciones de ciberseguridad requeridos para la plataforma basada en la nube de Accenture utilizada por al menos seis agencias federales, entre ellas el Ejército de los Estados Unidos, el Departamento de Estado, el Departamento de Asuntos de Veteranos y otros clientes gubernamentales. En concreto, el Departamento de Justicia afirma que Hillmer:

• Afirmó falsamente que la plataforma cumplía con los controles de seguridad de la base de referencia FedRAMP High y los niveles de impacto 4 y 5 del Departamento de Defensa, a pesar de las repetidas advertencias de que el sistema carecía de los controles de acceso, registro, supervisión y otras capacidades críticas necesarios, así como de los recursos para lograr el cumplimiento.
• Intentó influir y obstaculizar a los evaluadores externos durante las auditorías obligatorias de 2020 y 2021 ocultando deficiencias graves e instruyendo a otros para que ocultaran el estado real del sistema durante las pruebas y demostraciones.
• Realizó declaraciones falsas y engañosas al Ejército de los Estados Unidos para inducirlo a patrocinar la plataforma para una autorización provisional del Departamento de Defensa.
• Envió o hizo que otros enviaran materiales que sabía que contenían información materialmente falsa, con el fin de obtener y mantener lucrativos contratos gubernamentales y autorizaciones del sistema. Estos contratos gubernamentales «exigían un nivel de seguridad que la plataforma no proporcionaba realmente».

Hillmer está acusado de dos cargos de fraude electrónico (con una pena máxima de 20 años cada uno), un cargo de fraude grave al gobierno (con una pena máxima de 10 años) y dos cargos de obstrucción de una auditoría federal (con una pena máxima de 5 años por cada cargo).

Panorama de la aplicación de la ley

El caso Hillmer ofrece un claro ejemplo del continuo enfoque del Departamento de Justicia en el cumplimiento de los requisitos de ciberseguridad, aunque este caso también es notable por el uso de leyes tradicionales contra el fraude con cargos de obstrucción para perseguir conductas que implican el incumplimiento de los controles de seguridad exigidos en la contratación pública.

Este asunto también demuestra que el Departamento de Justicia puede presentar cargos incluso cuando no se haya producido una violación real de los datos. La teoría del Departamento de Justicia es que las tergiversaciones sustanciales relativas a los controles de seguridad exigidos, si el Gobierno se basa en ellas, son suficientes para sustentar cargos penales con sanciones importantes, incluso sin que se haya producido una violación de los datos.

La investigación refleja un esfuerzo coordinado y multiinstitucional en el que participan inspectores generales y departamentos de investigación militar. Esta colaboración amplía la capacidad de investigación, los conocimientos especializados y el alcance jurisdiccional, lo que se traduce en un mayor escrutinio de los contratistas y aumenta la importancia de la rendición de cuentas tanto a nivel corporativo como individual.

Recomendaciones para contratistas gubernamentales y otros beneficiarios de fondos federales

El caso Hillmer ilustra la seriedad con la que el Departamento de Justicia de los Estados Unidos considera los incumplimientos en materia de ciberseguridad en los contratos federales. Las siguientes medidas pueden reforzar los controles técnicos, de cumplimiento y de gobernanza de su organización y ayudar a reducir el riesgo de responsabilidad tanto para la empresa como para los ejecutivos individuales.  

• Establecer un compromiso de arriba abajo con el cumplimiento. El cumplimiento de la ciberseguridad debe ser impulsado por los altos directivos y tratarse como un valor organizativo fundamental. Los ejecutivos deben recibir actualizaciones periódicas y estructuradas sobre el rendimiento del control interno, las deficiencias, los avances en la corrección y las vulnerabilidades restantes. Los protocolos de gobernanza deben garantizar que los problemas se comuniquen rápidamente en lugar de ocultarse, y que los empleados que planteen sus preocupaciones de buena fe estén protegidos contra represalias.
• Supervisar las obligaciones contractuales en materia de ciberseguridad. Desarrollar y mantener un inventario actualizado de todas las normas contractuales de ciberseguridad y los sistemas que cubren. Confirmar que el personal responsable comprenda estos requisitos, supervise continuamente el rendimiento e implemente medidas correctivas cuando se detecten deficiencias. Los programas de cumplimiento eficaces suelen requerir una estrecha colaboración entre las funciones de cumplimiento/jurídicas y el personal de seguridad de la información/TI.
• Mantenga controles internos sólidos. Realice revisiones internas rigurosas u obtenga la validación de terceros independientes antes de enviar certificaciones, respuestas de auditoría o materiales de autorización a agencias federales para confirmar que sean precisos, completos y estén respaldados por documentación.
• Corrija las inexactitudes sin demora. Si posteriormente se descubre que las declaraciones, informes o presentaciones al gobierno son incompletos o inexactos, actúe de inmediato para corregir el registro. Considere la posibilidad de realizar una divulgación proactiva cuando sea apropiado. Tomar medidas correctivas inmediatas cuando se identifican inexactitudes puede mitigar la posible responsabilidad civil o penal y transmitir a los reguladores que la organización está actuando de buena fe para abordar las cuestiones de cumplimiento.
• Educación y concienciación específicas. Impartir formación específica para cada función sobre las normas de ciberseguridad aplicables a los contratos gubernamentales y sobre la colaboración adecuada y transparente con las agencias federales, los auditores y los evaluadores. La formación debe reforzar la idea de que las tergiversaciones intencionadas o la obstrucción durante las auditorías pueden acarrear graves consecuencias personales y corporativas, incluida la responsabilidad penal.