La llamada de la brecha llega a las 11:47 PM de un domingo. El CISO está en la línea con el jefe de respuesta a incidentes, su asesor legal externo está marcando y alguien en la sala de guerra ya está haciendo la pregunta que define las próximas noventa y seis horas: ¿Es esto material?
Para las empresas públicas en los Estados Unidos, esa pregunta ya no es una conversación pausada entre el asesor legal y el comité de auditoría. Desde diciembre de 2023, la Comisión de Bolsa y Valores (SEC) exige que los registrantes presenten un Formulario 8-K bajo el Punto 1.05 dentro de los cuatro días hábiles posteriores a la determinación de que un incidente de ciberseguridad es material. Incumpla el plazo, caracterice erróneamente el incidente o divulgue en exceso bajo el punto equivocado, y podrá ganarse una carta de comentarios, una notificación Wells o una demanda colectiva de valores que dure más que la propia brecha.
Esta guía analiza cómo funciona realmente la norma en 2026: qué activa el plazo de cuatro días hábiles, cómo realizar la determinación de materialidad sin retrasos irrazonables, cuándo el Fiscal General de los Estados Unidos puede otorgarle tiempo, qué exige el Punto 106 de la Regulación S-K en su 10-K anual y los costosos errores que los dos primeros años de aplicación de la SEC han dejado dolorosamente claros.
Lo que la norma exige realmente
La norma final de la SEC, adoptada en julio de 2023, consta de dos grandes partes. La primera es la notificación de incidentes en el Formulario 8-K. La segunda es la divulgación anual de la gestión de riesgos, estrategia y gobernanza de la ciberseguridad en el Formulario 10-K (o Formulario 20-F para emisores privados extranjeros).
El Punto 1.05 del Formulario 8-K requiere que un registrante divulgue cualquier incidente de ciberseguridad que haya determinado que es material. La divulgación debe describir los aspectos materiales de la naturaleza, el alcance y el cronograma del incidente, así como el impacto material o el impacto material razonablemente probable en el registrante, incluyendo la condición financiera y los resultados de las operaciones del registrante. El 8-K generalmente debe presentarse dentro de los cuatro días hábiles posteriores a la determinación de la materialidad.
El Punto 106 de la Regulación S-K requiere que los registrantes describan en su informe anual:
- Sus procesos para evaluar, identificar y gestionar los riesgos materiales derivados de las amenazas de ciberseguridad
- Si algún riesgo de amenazas de ciberseguridad, incluidos los incidentes anteriores, ha afectado materialmente o es razonablemente probable que los afecte de manera material
- La supervisión de los riesgos de ciberseguridad por parte de la junta directiva (incluido cualquier comité de la junta responsable)
- El papel de la gerencia en la evaluación y gestión de los riesgos materiales de ciberseguridad, incluida la experiencia relevante del personal responsable
Todos los registrantes —incluidas las empresas informantes más pequeñas— deben etiquetar sus divulgaciones de ciberseguridad en Inline XBRL para los años fiscales que finalicen a partir del 15 de diciembre de 2024.
Estas dos piezas funcionan juntas. El 10-K describe el programa; el 8-K informa sobre los eventos que el programa no pudo prevenir.
El plazo de cuatro días hábiles no comienza cuando se descubre el incidente
Este es el aspecto más incomprendido de la norma. El plazo no comienza cuando su SOC alerta sobre una actividad sospechosa, cuando encuentra el malware, cuando el atacante extrae datos o incluso cuando llama a su firma de análisis forense. El plazo comienza cuando la empresa determina que el incidente es material.
Esa determinación debe realizarse "sin retrasos irrazonables" tras el descubrimiento. La SEC rechazó explícitamente un plazo fijo para la determinación de la materialidad, reconociendo que el alcance y el impacto del incidente a menudo tardan días o semanas en aclararse. Pero "sin retrasos irrazonables" tampoco es una licencia para pausar indefinidamente mientras el asesor legal negocia.
De esto se desprenden tres implicaciones prácticas:
- Debe tener un proceso documentado para clasificar los incidentes y escalarlos hacia una determinación de materialidad. Si la SEC pregunta cómo llegó a la determinación, debe poder señalar un manual de respuesta a incidentes por escrito, un comité definido que toma la decisión y un registro de cuándo se reunió.
- Contratar análisis forense, llamar al FBI o pagar un rescate no detiene el reloj de la determinación. El cese o el aparente cese del incidente —incluso como resultado del pago de un rescate— no exime al registrante de la obligación de realizar una determinación de materialidad.
- Puede hablar con las fuerzas del orden antes de decidir. Una empresa pública puede alertar a los actores gubernamentales en cualquier punto de la respuesta al incidente, incluso antes de determinar la materialidad, siempre que no retrase irrazonablemente sus procesos internos para determinar la materialidad.
Qué significa "Material" para un incidente cibernético
La materialidad bajo las leyes federales de valores es el mismo estándar que la Corte Suprema articuló hace décadas en TSC Industries y Basic v. Levinson: la información es material si existe una probabilidad sustancial de que un inversor razonable la considere importante al tomar una decisión de inversión, o si alterara significativamente el conjunto total de información disponible.
La SEC declinó redactar una prueba de materialidad específica para lo cibernético. En su lugar, los registrantes deben aplicar el mismo marco que ya aplican a los riesgos operativos, financieros y legales. Los factores que tienden a inclinar un incidente cibernético hacia lo material incluyen:
- Impacto financiero cuantitativo: pérdida de ingresos proyectada, costos de remediación, pagos de rescate, multas regulatorias, reembolsos a clientes, recuperaciones de seguros netas de retención de autoseguro y amortizaciones de activos deteriorados.
- Impacto cualitativo: daño a la reputación, pérdida de confianza del cliente, daño a una línea de negocio, robo de secretos comerciales, exposición de información personal regulada, interrupción de una operación crítica, exposición por incumplimiento contractual y riesgo de litigio.
- Alcance: número de clientes, empleados o cuentas afectadas; las geografías y regímenes regulatorios implicados; la duración de la interrupción.
- Sensibilidad de los datos: datos de tarjetas de pago, información de salud protegida, código fuente, bandejas de entrada de equipos de fusiones y adquisiciones.
- Interrupción operativa: tiempo de inactividad de la fábrica, interrupción del ERP, interrupción de la cadena de suministro, falla del punto de venta minorista, retraso en el procesamiento de reclamaciones.
Fundamentalmente, la norma requiere evaluar tanto el impacto real como el impacto "razonablemente probable". Una brecha donde el daño financiero inmediato parece modesto pero la exposición regulatoria o de litigio es severa aún puede ser material. Por el contrario, una intrusión ruidosa que no provocó ninguna filtración ni impacto operativo puede no serlo, incluso si genera un informe de incidente interno alarmante.
La División de Finanzas Corporativas ha enfatizado públicamente un punto: no agrupe incidentes de ciberseguridad no relacionados en una sola evaluación de materialidad para manipular el umbral. Pero debe agregar incidentes relacionados; por ejemplo, intrusiones repetidas por el mismo actor de amenaza o una serie de eventos relacionados que, en conjunto, producen un impacto material.
Qué se incluye en el 8-K y qué se queda fuera
El Punto 1.05 exige que las entidades registradas describan:
- Los aspectos materiales de la naturaleza, el alcance y la cronología del incidente
- El impacto material o el impacto material razonablemente probable en la entidad registrada, incluyendo su situación financiera y los resultados de las operaciones
Otras dos disposiciones son importantes. En primer lugar, las entidades registradas no están obligadas a revelar información específica o técnica sobre la respuesta planificada de la empresa, los sistemas de ciberseguridad, las redes y dispositivos relacionados, o las vulnerabilidades potenciales del sistema; cualquier cosa que pueda impedir la respuesta o la remediación del incidente. En segundo lugar, las entidades registradas deben enmendar el 8-K original (utilizando de nuevo el Punto 1.05) cuando la información material no esté disponible en el momento de la presentación inicial y pase a estar disponible posteriormente. Aproximadamente un tercio de las empresas que han presentado declaraciones bajo el Punto 1.05 hasta ahora han realizado al menos una enmienda posterior.
El arte consiste en equilibrar la transparencia con la seguridad operativa y la exposición a litigios. Mejores prácticas para 2026:
- Indique lo que se sabe y lo que se está investigando. Evite las especulaciones, pero no minimice el impacto para que la divulgación parezca menor de lo que es.
- Describa el impacto operativo de forma concreta. "Se desconectaron ciertos sistemas" es más útil que "se respondió con rapidez". "Se interrumpió el procesamiento de pedidos durante aproximadamente cinco días hábiles" es más útil que "tuvo un impacto temporal".
- Cuantifique el impacto financiero cuando pueda. Incluso los rangos y las estimaciones de "razonablemente probable que sea material" son mejores que el silencio. La campaña de revisión de la SEC a mediados de 2024 emitió cartas de comentarios pidiendo específicamente a las empresas que ampliaran la divulgación del impacto material potencial más allá de la situación financiera y los resultados de las operaciones.
- Evite detalles técnicos que no influyan en la materialidad. Los inversores no necesitan conocer el número CVE o el producto específico de detección de endpoints que no detectó el malware.
- No declare que no se ha identificado ningún impacto material si no ha completado realmente esa evaluación. Ese lenguaje puede convertirse en su propia demanda por fraude de valores.
La trampa del Punto 1.05 frente al Punto 8.01
El error más común —y más evitable— en los primeros dieciocho meses de la norma fue presentar el Punto 1.05 de forma reflexiva para cada incidente de ciberseguridad, incluidos aquellos que la empresa no había determinado que fueran materiales o que había determinado afirmativamente que no lo eran.
En mayo de 2024, el Director de la División de Finanzas Corporativas emitió una declaración pública aclarando que el Punto 1.05 es para incidentes materiales. Si una empresa decide divulgar información de forma voluntaria —por ejemplo, porque el incidente está en la prensa, los clientes preguntan o la empresa quiere controlar la narrativa— y aún no se ha realizado la determinación de materialidad o esta ha resultado negativa, la divulgación debe realizarse bajo un punto diferente del Formulario 8-K, normalmente el Punto 8.01 (Otros eventos).
El razonamiento es claro: si cada incidente acaba en el Punto 1.05, los inversores pierden la capacidad de distinguir las brechas materiales de las rutinarias. La etiqueta se diluye y las divulgaciones materiales pierden su señal.
Se derivan tres reglas prácticas:
- Utilice el Punto 8.01 para la divulgación voluntaria de incidentes que aún no se han determinado como materiales.
- Migre al Punto 1.05 en un plazo de cuatro días hábiles tras cualquier determinación posterior de materialidad. El nuevo 8-K del Punto 1.05 puede hacer referencia cruzada a la presentación anterior del Punto 8.01.
- Documente la determinación de materialidad de forma contemporánea. Los memorandos internos, las actas de los comités y las marcas de tiempo establecen que usted tomó la decisión de forma deliberada y no por defecto.
Una estadística que refleja este cambio: en el año posterior a la declaración de mayo de 2024, la proporción de formularios 8-K relacionados con la ciberseguridad presentados bajo el Punto 8.01 en lugar del Punto 1.05 creció drásticamente. Las empresas que antes utilizaban el Punto 1.05 para todo aprendieron que la SEC estaba prestando atención a la elección del punto, no solo al contenido de la divulgación.
Cuándo el Fiscal General puede detener el reloj
La norma contiene una excepción estrecha de demora por seguridad nacional y seguridad pública. Si el Fiscal General de los Estados Unidos determina que la divulgación inmediata supondría un riesgo sustancial para la seguridad nacional o la seguridad pública y lo notifica a la SEC por escrito, la entidad registrada puede retrasar la presentación del Punto 1.05 del 8-K:
- Por un periodo inicial de hasta 30 días, más
- Un periodo extendido de hasta 30 días adicionales si el Fiscal General reafirma la determinación, más
- En circunstancias extraordinarias vinculadas exclusivamente a la seguridad nacional, un periodo final de hasta 60 días adicionales
El Departamento de Justicia y el FBI han publicado procedimientos para solicitar estas demoras. Algunas realidades que hay que interiorizar antes de confiar en esta excepción:
- El Departamento de Justicia ha señalado que las demoras se concederán raras veces. La expectativa por defecto es que se presente el informe dentro de los cuatro días hábiles posteriores a la determinación de materialidad.
- La prueba pertinente es si la divulgación pública del incidente amenazaría la seguridad pública o la seguridad nacional, no si el incidente en sí es peligroso.
- Las solicitudes deben enviarse a través del FBI lo antes posible después de una determinación de materialidad, no al final del plazo de cuatro días hábiles. Se requiere un tiempo de antelación real para que el Departamento de Justicia evalúe una solicitud.
- Se fomenta la coordinación con el FBI durante la respuesta al incidente, independientemente de si se solicita o no una demora, pero esto no justifica por sí solo la pausa en la determinación de la materialidad.
Para la mayoría de las empresas, la suposición operativa correcta es que no se concederá ninguna demora. La excepción existe para casos genuinos de seguridad nacional, no como una herramienta de gestión de litigios.
La Regulación FD coexiste con el Ítem 1.05
Un punto sutil pero trascendental: una presentación del 8-K es una divulgación pública y simultánea que cumple con la Regulación FD. Sin embargo, muchas de las conversaciones que ocurren durante la respuesta a un incidente —con clientes, proveedores, reguladores, fuerzas del orden, aseguradoras, equipos de cuentas de grandes empresas e incluso empleados— no lo hacen.
Si una empresa le comunica a un cliente importante que la brecha afectó sus datos, y esa información es material y aún no es pública, esa divulgación puede violar la Reg FD aunque la brecha en sí no haya sido anunciada públicamente. Una vez que se realiza la determinación de materialidad, el supuesto operativo seguro es que se dispone de horas, no de días, para alinear las comunicaciones internas con el 8-K planificado.
El asesor legal y el equipo de Relaciones con Inversionistas (RI) deben redactar:
- Declaraciones de reserva para las llamadas de prensa entrantes que comenzarán tan pronto como la brecha se haga visible.
- Comunicaciones con clientes que se alineen con el lenguaje del 8-K planificado.
- Comunicaciones para empleados que no filtren información material antes de la presentación pública.
- Coordinación con aseguradoras y reaseguradoras, que suelen enterarse pronto pero no deben recibir información material no pública.
Ítem 106: La divulgación anual que sienta las bases
Una divulgación limpia del Ítem 1.05 comienza con un programa creíble del Ítem 106. La divulgación anual ofrece a los inversores —y a los abogados de los demandantes— un punto de referencia para medir su respuesta ante incidentes.
Una divulgación defendible del Ítem 106 describe típicamente:
- Un marco formal de gestión de riesgos de ciberseguridad (a menudo basado en NIST CSF 2.0, ISO 27001 o un estándar similar).
- Un proceso definido para identificar amenazas, incluyendo el riesgo de terceros y de la cadena de suministro.
- Integración con el programa de gestión de riesgos empresariales más amplio, no como una función de TI aislada.
- Participación de terceros cualificados (evaluadores, probadores de penetración, proveedores de respuesta y detección gestionada, auditoría interna).
- Supervisión a nivel de junta directiva por un comité designado (normalmente el comité de auditoría, el comité de riesgos o, en algunos casos, la junta en pleno), con una cadencia documentada.
- Responsabilidad de la gerencia vinculada a un rol específico (a menudo el CISO), con experiencia relevante divulgada (años de experiencia, certificaciones, roles previos).
- Una descripción honesta de cualquier incidente pasado que haya afectado materialmente o que tenga una probabilidad razonable de afectar materialmente a la empresa.
Algunas sutilezas:
- La divulgación debe ser honesta. El lenguaje aspiracional sobre un "programa de ciberseguridad de clase mundial" que no coincide con las prácticas reales de la empresa es exactamente el tipo de declaración que los abogados de los demandantes escudriñarán tras una brecha.
- La biografía del CISO importa. El fraseo vago sobre "amplia experiencia" es más débil que las credenciales concretas, los roles previos de CISO y las certificaciones de seguridad.
- La supervisión de la junta debe ser específica. "La junta supervisa la ciberseguridad" es demasiado vago. Identifique el comité, describa su cadencia de reuniones e indique el tipo de materiales que revisa.
- Los incidentes pasados que no eran materiales en su momento pueden haberse acumulado en algo que ahora sí lo es. No omita el historial relevante.
Lo que nos han enseñado los dos primeros años
Durante los primeros dieciocho meses de informes obligatorios, la División de Finanzas de Corporaciones de la SEC llevó a cabo lo que los observadores llamaron un "barrido" (sweep), emitiendo cartas de comentarios que se centraron en dos temas específicos:
- La elección de divulgar bajo el Ítem 1.05 cuando no se había determinado que el incidente fuera material o se había determinado que no lo era.
- La necesidad de ampliar la discusión sobre el impacto material potencial más allá de la condición financiera y los resultados de las operaciones para incluir dimensiones reputacionales, operativas, de clientes, regulatorias y de litigios.
El segundo punto merece énfasis. Muchos 8-K iniciales se leían de forma limitada: "no se espera que el incidente tenga un impacto material en nuestros resultados financieros". Ese lenguaje puede ser técnicamente cierto y sustancialmente engañoso si la empresa se enfrenta a un escrutinio regulatorio, pérdida de clientes y demandas colectivas. Los inversores se preocupan por el panorama general; los comentarios de la SEC dejan claro que la divulgación también debería hacerlo.
Un segundo patrón: las enmiendas. Aproximadamente una de cada tres empresas que presentaron un 8-K bajo el Ítem 1.05 presentaron al menos una enmienda, y una parte significativa presentó dos o más. Esto es normal y esperado. La investigación produce nuevos hechos; los nuevos hechos producen una divulgación actualizada. Lo que no es aceptable es una promesa de "actualizaremos si es material" que nunca recibe seguimiento.
Construcción del manual de estrategias operativas
Si su empresa está preparando —o actualizando— su preparación para el Ítem 1.05, el manual de estrategias debe cubrir:
Flujo de trabajo desde la detección hasta la determinación. Defina la ruta de escalada del SOC, el paso de triaje legal, la composición del comité de materialidad y la cadencia con la que se reúne el comité durante un incidente activo. La mayoría de las empresas establecen una reunión diaria o dos veces al día desde la detección del incidente hasta su resolución.
Estatuto del comité de materialidad. Un grupo pequeño y designado —típicamente el CFO, el Asesor Jurídico General, el CISO, el jefe de relaciones con inversionistas y un líder empresarial senior— facultado para tomar la determinación. El estatuto debe especificar el quórum, la autoridad de decisión, los estándares de documentación y la escalada al comité de auditoría.
Plantillas de divulgación. Borradores preestablecidos del Ítem 1.05 e Ítem 8.01 del 8-K, además de lenguaje para notificaciones a clientes, declaraciones de reserva y documentos de preguntas frecuentes (FAQ). Redactar desde cero bajo presión de tiempo produce una divulgación de menor calidad.
Ejercicios de simulación transversales. Ejercicios anuales o semestrales que guían a todas las partes interesadas a través de una brecha hipotética: legal, seguridad, RI, finanzas, comunicaciones, liderazgo de unidades de negocio y el comité de la junta. Los ejercicios deben cubrir explícitamente el plazo de cuatro días hábiles.
Dependencias de proveedores y contratos. Los asesores externos, firmas de forense informática, negociadores de ransomware y firmas de consultoría de respuesta a incidentes deben estar bajo contrato con acuerdos de servicios maestros firmados por adelantado. Negociar estos contratos durante un incidente activo consume días que no tiene.
Coordinación del seguro cibernético. Muchas pólizas requieren notificación dentro de plazos ajustados. Coordine la notificación con el flujo de trabajo de determinación de materialidad para que la divulgación de valores y la notificación del seguro no colisionen.
El costo de hacerlo bien — y de hacerlo mal
El costo contable y de cumplimiento de este régimen es real. Una empresa pública de tamaño mediano en 2026 debería anticipar:
- $50,000 a $200,000 en el desarrollo inicial del programa y asesoría legal externa
- $50,000 a $150,000 anuales en herramientas GRC continuas, evaluaciones de terceros y facilitación de simulacros de escritorio (tabletop exercises)
- $150,000 a $500,000 en costos específicos del incidente para cualquier evento reportable (análisis forense, asesoría legal, comunicaciones)
- Potencialmente cifras de siete dígitos en multas regulatorias y exposición a demandas colectivas por una divulgación fallida
Estos costos se distribuyen en múltiples cuentas del libro mayor —servicios profesionales, seguros, suscripciones de software, salarios internos— y frecuentemente se codifican de manera inconsistente, lo que dificulta la comparación interanual y los informes al comité de auditoría más de lo necesario. Construir un plan de cuentas claro que segregue el gasto en gestión de riesgos cibernéticos de otros costos de TI y legales proporciona al comité de auditoría los datos necesarios para supervisar el programa. También genera cifras más claras para la próxima ronda de debida diligencia de inversores y el próximo ciclo de renovación de su póliza de seguro de ciberseguridad.
Mantenga sus registros de divulgación tan auditables como sus controles de seguridad
La respuesta ante un incidente de ciberseguridad abarca sus funciones de seguridad, legales, de comunicaciones, financieras y contables; y el registro de divulgación que cree durante esos cuatro días hábiles será examinado por la SEC, su comité de auditoría, sus aseguradoras y, muy posiblemente, los abogados de la contraparte. El mismo estándar que se aplica a sus controles de seguridad se aplica a sus registros financieros: deben ser transparentes, tener marca de tiempo, estar controlados por versiones y ser reproducibles. Beancount.io ofrece a los equipos de finanzas una plataforma de contabilidad en texto plano que es totalmente auditable, con control de versiones en Git y preparada para la revisión asistida por IA que sus futuros comités de auditoría esperarán. Comience gratis y vea por qué los profesionales de las finanzas se están pasando a la contabilidad en texto plano para obtener el tipo de rastro de auditoría que exige el cumplimiento moderno.