Heartland Executives dijo la verdad, el juez dice

Los altos ejecutivos de Heartland Payment Systems hablaron con sinceridad sobre el estado de seguridad de la empresa, dijo un juez federal esta semana antes de desestimar una demanda colectiva contra el procesador de pagos.

La demanda de los accionistas, presentada en Marzo, fue denegada el lunes por la jueza Anne Thompson del Tribunal de Distrito de los Estados Unidos para el Distrito de Nueva Jersey.

Heartland fue demandada por los accionistas después de que sus acciones cayeron casi un 80 por ciento luego de la mayor violación de datos en la historia de Estados Unidos. Los demandantes en el caso dicen que los ejecutivos de Heartland mintieron cuando se les preguntó sobre el estado de la seguridad de la compañía en las teleconferencias de ganancias y al no revelar un ataque de inyección SQL de 2007 en su sistema de nómina en los archivos de la Comisión de Valores.

[Leer más: Cómo eliminar el malware de su PC con Windows]

Ese ataque de inyección SQL de diciembre de 2007 fue importante porque dio a los criminales una puerta trasera en el sistema de procesamiento de pagos de la compañía, alegaron los demandantes. En última instancia, los piratas informáticos robaron más de 130 millones de números de tarjetas de crédito.

Pero en opinión del juez Thompson, porque Heartland no había confirmado el corte de la tarjeta de crédito hasta enero de 2009, los ejecutivos de la compañía decían la verdad cuando decían a los inversores que tomaron seguridad seria.

"El hecho de que una compañía haya sufrido una violación de seguridad no demuestra que la compañía no 'puso gran énfasis en mantener un alto nivel de seguridad'", escribió en una opinión de 14 páginas, presentada el lunes..

En una conferencia telefónica del 13 de febrero de 2008, varios meses después del ataque SQL, el CEO de Heartland Robert Carr y el Director Financiero Robert Baldwin Jr. dijeron a los analistas que la compañía había gastado más de un millón de dólares en seguridad informática durante el último trimestre de 2007, pero que este gasto no fue en respuesta a ningún incidente de seguridad. Thompson descubrió que esta respuesta era veraz, porque el ataque SQL del 26 de diciembre ocurrió "demasiado tarde en el trimestre como para haber causado el gasto de más de un millón de dólares".

"Si los analistas simplemente hubieran preguntado, '¿ ¿sufres una falla de seguridad en el cuarto trimestre de 2007? entonces las respuestas del acusado podrían haber sido engañosas ", escribió.

Heartland no hizo ningún comentario sobre el fallo, aparte de una breve declaración en la que reconoció que había ocurrido. Los abogados que representan a los demandantes en el caso no respondieron a los mensajes en busca de comentarios.

En mayo, Albert González, de 28 años, fue acusado del crimen. En documentos judiciales, ha indicado que está dispuesto a declararse culpable de los cargos de piratería informática, pero no ha sido condenado. A principios de esta semana, un caso federal contra él en Nueva Jersey fue transferido a Massachusetts, donde también enfrenta cargos.