Un ex ejecutivo de ciberseguridad de IBM acusó a la empresa de haber sido pirateada tres veces en la década anterior por gobiernos extranjeros y luego encubrir las infracciones.
en demanda abierto esta semana sin embargo, presentado en 2020, William Barlow, quien fue vicepresidente de inteligencia de amenazas de IBM hasta agosto de 2019, dijo que IBM concluyó que los piratas informáticos chinos habían violado su red central entre 2013 y 2016, pero luego la compañía encubrió la violación y nunca la reveló. Barlow también dijo que al menos dos subsidiarias de IBM también sufrieron violaciones y que IBM también las encubrió.
Barlow alegó en su denuncia que la red central de IBM era “rutinariamente pirateada por actores estatales extranjeros y otros”, y agregó que los datos eran robados con frecuencia y que las agencias gubernamentales “nunca eran notificadas”.
Aunque estas supuestas violaciones ocurrieron hace más de una década, los informes noticiosos sugieren que los ataques cibernéticos, incluso aquellos contra grandes empresas públicas de tecnología como IBM, a veces nunca se revelan, ni al público ni a las autoridades gubernamentales pertinentes. IBM es un importante proveedor de ciberseguridad para el gobierno federal de EE. UU., por lo que este supuesto encubrimiento es de particular importancia. En los últimos años, se han aprobado varias leyes de notificación de violaciones de datos para abordar este problema.
Bloomberg informó por primera vez la demanda.
La portavoz de IBM, Miki Carver, se negó a responder preguntas específicas sobre la demanda y sus acusaciones subyacentes. En cambio, Carver dijo a TechCrunch: “Esta denuncia se presentó hace seis años y el Departamento de Justicia de EE. UU. se negó a intervenir. IBM cree que nuestras acciones cumplieron con la ley aplicable”.
Específicamente, Barlow dijo que IBM estaba entre varias víctimas de una campaña de piratería informática llevada a cabo por APT 10, un grupo vinculado al gobierno chino que, según el entonces director del FBI, Christopher Wray, tenía como objetivo ‘¿Quién es quién?‘economia global cuando sus miembros fueron acusados en 2018. Los piratas informáticos irrumpieron en la red de la empresa y en los datos que administraba allí en asociación con AT&T.
Barlow alega que en marzo de 2017, funcionarios de inteligencia de Australia, Canadá, Nueva Zelanda, Estados Unidos y el Reino Unido –la llamada alianza Five Eyes– alertaron a IBM sobre la violación, lo que provocó una investigación interna.
Con base en la denuncia, la investigación concluyó que APT 10 potencialmente violó la red de IBM más de 56.000 veces entre 2013 y 2016. Lo más importante es que la compañía dijo que no podía investigar más porque no mantenía registros de quién accedió a su red y cuándo, lo cual es una práctica de seguridad básica.
Luego, IBM supuestamente no alertó a las autoridades ni al gobierno de Estados Unidos, uno de sus principales clientes.
“Debido a que la infraestructura Core Network de IBM y AT&T era anticuada, los piratas informáticos pudieron obtener acceso a los sistemas en múltiples ocasiones y pudieron vagar por casi cualquier lugar sin ser detectados”, se lee en la denuncia, y se explica que la investigación interna de IBM concluyó que cuatro servidores habían sido comprometidos en la campaña de piratería APT 10.
“Los atacantes comprometieron y/o accedieron a casi 400 cuentas comprometidas y casi 200 sistemas y servidores en total en cada unidad de negocios de IBM, dieciocho países y múltiples productos de IBM”, decía el informe interno de IBM sobre la investigación de la violación, según la denuncia.
Jason Brown, el abogado que representa a Barlow, dijo a TechCrunch que su firma “espera litigar agresivamente”.
“No se puede vender ciberseguridad al gobierno federal si se sospecha que su empresa tiene estos problemas de seguridad”, dijo Brown.
Según Barlow, otra violación de la que tenía conocimiento afectó a Trusteer, una startup de ciberseguridad adquirida por IBM en 2013, que, según dijo, fue violada en 2018; y Truven, una startup de datos de atención médica que IBM adquirió en 2016 y que, según dijo, fue violada varias veces después de la adquisición.
En ambos casos, Barlow acusó a IBM de no investigar ni revelar adecuadamente estas infracciones.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
