Un ex ejecutivo de ciberseguridad de IBM acusó a la empresa de haber sido pirateada tres veces en la década anterior por gobiernos extranjeros y luego encubrir las infracciones.
En una demanda revelada esta semana pero presentada en 2020, William Barlow, quien fue vicepresidente de inteligencia de amenazas de IBM hasta agosto de 2019, dijo que IBM concluyó que los piratas informáticos chinos violaron su red central entre 2013 y 2016, pero que luego la compañía encubrió las violaciones y nunca las reveló. Barlow también dijo que al menos dos subsidiarias de IBM también sufrieron violaciones y que IBM también encubrió esas violaciones.
Barlow alegó en su denuncia que la red central de IBM era «rutinariamente pirateada por actores estatales extranjeros y otros», y agregó que los datos eran robados con frecuencia y que las agencias gubernamentales «nunca eran notificadas».
Si bien las supuestas violaciones se remontan a más de una década, las noticias muestran que los ciberataques, incluso aquellos que afectan a grandes empresas tecnológicas públicas como IBM, a veces nunca se revelan, ni al público ni a las autoridades gubernamentales pertinentes. IBM es un importante proveedor de ciberseguridad para el gobierno federal de EE. UU., lo que hace que el supuesto ocultamiento sea especialmente significativo. En los últimos años, se han aprobado varias leyes de notificación de violaciones de datos para contrarrestar este problema.
Bloomberg informó por primera vez sobre la demanda.
La portavoz de IBM, Miki Carver, se negó a responder preguntas específicas sobre la demanda y las acusaciones subyacentes. En cambio, Carver dijo a TechCrunch: «Esta denuncia se presentó hace seis años y el Departamento de Justicia de EE. UU. se negó a intervenir. IBM confía en que nuestras acciones siguieron la letra de la ley».
En particular, Barlow dijo que IBM estaba entre varias víctimas de una campaña de piratería llevada a cabo por APT 10, un grupo vinculado al gobierno chino que, según el entonces director del FBI, Christopher Wray, había apuntado a un «quién es quién» de la economía global cuando sus miembros fueron acusados en 2018. Los piratas informáticos irrumpieron tanto en la red de la compañía como en los datos que mantenía allí en asociación con AT&T.
Barlow alegó que en marzo de 2017, funcionarios de inteligencia de Australia, Canadá, Nueva Zelanda, Estados Unidos y el Reino Unido (la llamada alianza Five Eyes) advirtieron a IBM sobre la violación, lo que provocó una investigación interna.
Según la denuncia, la investigación concluyó que APT 10 potencialmente violó la red de IBM más de 56.000 veces entre 2013 y 2016. Fundamentalmente, la compañía dijo que no podía investigar más porque no había mantenido registros de quién accedió a su red y cuándo, una práctica de seguridad básica.
Luego, IBM supuestamente no alertó a ninguna autoridad ni al gobierno de Estados Unidos, uno de sus principales clientes.
«Como la infraestructura de IBM y AT&T Core Networks es arcaica, los piratas informáticos han podido obtener acceso al sistema en numerosas ocasiones y pueden vagar por casi cualquier lugar sin ser detectados», se lee en la denuncia, que explica que la investigación interna de IBM concluyó que cuatro servidores fueron comprometidos en la campaña de piratería APT 10.
«Los atacantes han comprometido y/o accedido a casi 400 cuentas comprometidas y casi 200 sistemas y servidores en total en cada unidad de negocios de IBM, dieciocho países y múltiples productos de IBM», decía un informe interno de IBM sobre la investigación de la violación, según la denuncia.
Jason Brown, abogado que representa a Barlow, dijo a TechCrunch que su firma «espera litigar agresivamente el asunto».
«No se puede vender ciberseguridad al gobierno federal mientras supuestamente se tienen estos problemas de seguridad dentro de su propia empresa», dijo Brown.
Según Barlow, otras violaciones de las que tenía conocimiento afectaron a Trusteer, una startup de ciberseguridad adquirida por IBM en 2013, que, según él, fue violada en 2018; y Truven, una startup de datos sanitarios que IBM adquirió en 2016 y que, según él, fue violada varias veces después de la adquisición.
En ambos casos, Barlow acusó a IBM de no investigar ni revelar adecuadamente estas infracciones.
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.
