El acuerdo del Departamento de Justicia (DOJ) con LOGZONE pone de relieve el riesgo derivado de la Ley contra el Fraude (FCA) en las declaraciones de cumplimiento en materia de ciberseguridad
El reciente acuerdo alcanzado por el Departamento de Justicia de EE. UU. (DOJ) con la empresa contratista de defensa de Alabama LOGZONE Inc. (LOGZONE) constituye un recordatorio significativo de que, en el contexto de la contratación pública federal, las deficiencias en materia de ciberseguridad no son meras cuestiones técnicas, sino que pueden dar lugar a responsabilidades en virtud de la Ley de Reclamaciones Falsas (FCA), especialmente cuando un contratista declara falsamente al Gobierno su situación de cumplimiento. En virtud del acuerdo, LOGZONE aceptó pagar 507 144 dólares para resolver las acusaciones de que presentó solicitudes de pago en el marco de dos contratos del Departamento de la Marina a sabiendas de que no cumplía con los requisitos de ciberseguridad de dichos contratos.
Esta resolución pone de manifiesto la voluntad constante del Departamento de Justicia de considerar el presunto incumplimiento de los requisitos contractuales en materia de ciberseguridad como un caso de fraude, incluso en ausencia de cualquier filtración de datos u otro incidente de seguridad. El comunicado de prensa refleja una teoría que se basa no solo en la existencia de controles de seguridad no implementados, sino también en la supuesta presentación de información relativa al cumplimiento que no reflejaba con exactitud la situación real de la empresa en materia de ciberseguridad. Esa combinación —deficiencias conocidas unidas a declaraciones inexactas sobre el cumplimiento— supone un área de riesgo especialmente grave en relación con la Ley contra el Fraude (FCA) para los contratistas del Gobierno que manejan información sensible en materia de defensa.
El acuerdo
Los dos contratos de la Armada en cuestión incorporaban el Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS) 252.204-7012, que exige a los contratistas que manejan información de defensa protegida que garanticen una seguridad adecuada para los sistemas de información del contratista protegidos, entre otras cosas mediante la aplicación de los requisitos de seguridad de la Publicación Especial (SP) 800-171 del Instituto Nacional de Estándares y Tecnología (NIST). El marco aplicable también exigía a LOGZONE que comunicara una puntuación resumida derivada de una autoevaluación vigente conforme a la Publicación Especial (SP) 800-171 del NIST en el Sistema de Riesgos de Rendimiento de los Proveedores (SPRS).
El Departamento de Justicia alegó que, entre mayo de 2021 y marzo de 2025, LOGZONE no aplicó determinados controles de la norma NIST SP 800-171 que, de no subsanarse, podrían permitir el aprovechamiento del sistema o la filtración de información sensible en materia de defensa. El Gobierno alegó además que LOGZONE presentó una puntuación de 110 en el SPRS —la puntuación máxima posible— y certificó el cumplimiento, a pesar de que la empresa sabía que no había aplicado íntegramente todos los controles exigidos.
Las supuestas deficiencias salieron a la luz a raíz de una evaluación realizada por la Agencia de Gestión de Contratos de Defensa (DCMA) sobre la implementación por parte de LOGZONE de los controles del NIST SP 800-171. Según el comunicado de prensa, dicha evaluación dio como resultado que LOGZONE obtuviera una puntuación de -170, cerca del extremo inferior del rango de puntuación posible, que va de -203 a 110. Cabe destacar que este caso no implicó a ningún denunciante ni a ninguna persona con información privilegiada, sino que fue el resultado directo de una auditoría gubernamental que condujo a la remisión del caso al Ministerio de Justicia.
Por qué es importante esta resolución
Este acuerdo se inscribe en el marco de la iniciativa más amplia del Departamento de Justicia (DOJ) de recurrir a la Ley de Reclamaciones Falsas para hacer cumplir los requisitos de ciberseguridad en la contratación pública. Sin embargo, también pone de relieve varias realidades prácticas que los contratistas no deben pasar por alto.
En primer lugar, el cumplimiento de las normas de ciberseguridad se evalúa en función de su aplicación real, no de compromisos sobre el papel. Un contratista puede contar con políticas, planes o medidas correctivas en marcha, pero eso no eliminará el riesgo si no se han implantado los controles necesarios y la empresa sigue facturando al Gobierno en virtud de contratos que los exigen.
En segundo lugar, las evaluaciones gubernamentales pueden servir de base para una resolución en virtud de la FCA. En este caso, el Departamento de Justicia (DOJ) vinculó sus acusaciones a una evaluación de la aplicación de los controles. Los contratistas deben partir de la base de que unos resultados deficientes en dichas evaluaciones, especialmente cuando apunten a deficiencias significativas en los controles exigidos, pueden acarrear consecuencias tanto legales como operativas. Cabe destacar que el acuerdo no indica que hubiera una denuncia «qui tam» ni ninguna otra denuncia por parte de una persona con información privilegiada.
En tercer lugar, el Departamento de Justicia no necesita alegar una infracción para iniciar un procedimiento en virtud de la Ley contra el Fraude (FCA) relacionado con la ciberseguridad. El comunicado de prensa se centra en la falta de aplicación de los controles exigidos y en la presentación de solicitudes de pago en virtud de contratos que exigen dichos controles. Este es un aspecto que conviene destacar para aquellas empresas que siguen abordando la aplicación de la normativa en materia de ciberseguridad principalmente desde la perspectiva de la respuesta ante incidentes.
Consideraciones prácticas para los contratistas
Para los contratistas que realizan trabajos sujetos a cláusulas de ciberseguridad y a las obligaciones de evaluación correspondientes, del acuerdo con LOGZONE se desprenden varias lecciones prácticas.
- Asegúrese de que las evaluaciones, las puntuaciones y las certificaciones sean precisas. Las empresas deben considerar las puntuaciones, las certificaciones y otras declaraciones relativas a la implementación de la norma NIST SP 800-171 como declaraciones de importancia jurídica, y no como meras formalidades administrativas. Dichas declaraciones deben ir acompañadas de la documentación correspondiente y ser revisadas por personal que comprenda tanto los requisitos técnicos como las implicaciones contractuales y jurídicas.
- No se debe confundir la implementación actual con las medidas correctivas futuras.
Una empresa puede identificar deficiencias en materia de ciberseguridad y trabajar para alcanzar el pleno cumplimiento mediante un proceso de corrección adecuado. Sin embargo, eso es distinto a afirmar que ya se han implementado todos los controles necesarios. Los contratistas deben ser precisos a la hora de describir su situación actual en materia de ciberseguridad.
- Considera los resultados negativos de las evaluaciones como un posible riesgo legal, y no solo como comentarios técnicos. Las conclusiones de las evaluaciones realizadas por el Gobierno o por terceros que pongan de manifiesto deficiencias importantes deben comunicarse sin demora a los departamentos jurídico y de cumplimiento normativo, así como a la alta dirección. Las conclusiones de las evaluaciones que quedan sin resolver pueden generar problemas mucho más graves con el paso del tiempo.
- Evaluar el riesgo de facturación cuando existan deficiencias conocidas. Cuando los contratos exijan la aplicación de controles específicos de ciberseguridad, la presentación continuada de solicitudes de pago puede conllevar un riesgo significativo si el contratista sabe que dichos controles no se han aplicado y que los documentos presentados anteriormente en relación con el cumplimiento son inexactos.
- Documentar los fundamentos de las determinaciones de cumplimiento. Los contratistas deben poder demostrar cómo se llegó a las conclusiones de la evaluación, qué información estaba disponible en el momento de presentar las certificaciones o puntuaciones, y qué medidas correctoras se estaban aplicando en ese momento. En cualquier consulta posterior, la documentación contemporánea será fundamental.