Exejecutivo de ciberseguridad de IBM acusa a la compañía de encubrir filtraciones de datos

IBM enfrenta una denuncia presentada por el exvicepresidente de inteligencia de amenazas William Barlow, quien sostiene que la empresa fue víctima de ciberataques atribuibles a gobiernos extranjeros en al menos tres ocasiones durante la última década y que, posteriormente, encubrió las brechas de seguridad.

La demanda, presentada en 2020 pero hecha pública esta semana, señala que piratas informáticos vinculados a China vulneraron la red central de IBM entre 2013 y 2016, así como otras dos subsidiarias, sin que la compañía informara a las autoridades ni al público.

Barlow sostiene que la red central de IBM era “pirateada rutinariamente por agentes estatales extranjeros y otros”, con robos de datos frecuentes y sin notificación a las agencias gubernamentales. Según la denuncia, la empresa nunca alertó a las autoridades sobre estas intrusiones, a pesar de su papel como proveedor clave de ciberseguridad para el gobierno federal de Estados Unidos.

Incidentes atribuidos a APT 10 y la respuesta de IBM

En su denuncia, Barlow detalla que IBM fue una de las víctimas de una campaña de piratería informática llevada a cabo por el grupo APT 10, vinculado al gobierno chino. El grupo habría accedido a la red de la empresa y a datos almacenados en colaboración con AT&T. Barlow afirma que funcionarios de inteligencia de Australia, Canadá, Nueva Zelanda, Estados Unidos y el Reino Unido —la alianza de los Cinco Ojos— alertaron a IBM sobre la filtración en marzo de 2017, lo que dio lugar a una investigación interna.

La investigación habría determinado que APT 10 vulneró la red de IBM más de 56.000 veces entre 2013 y 2016. Según la denuncia, IBM argumentó que no podía investigar más a fondo debido a la falta de registros de acceso, una práctica básica de seguridad. Además, se sostiene que la compañía no notificó a ninguna autoridad ni al gobierno de Estados Unidos, uno de sus principales clientes.

Un informe interno citado en la denuncia señala que “los atacantes han comprometido o accedido a casi 400 cuentas y a un total de casi 200 sistemas y servidores en todas las unidades de negocio de IBM, dieciocho países y múltiples productos de IBM”. La documentación interna también revela que cuatro servidores se vieron comprometidos durante la campaña de APT 10.

Filtraciones en subsidiarias y gestión de incidentes

Barlow acusa a IBM de encubrir también brechas en subsidiarias adquiridas durante la última década. Entre ellas menciona a Trusteer, firma de ciberseguridad adquirida en 2013, que habría sufrido una filtración en 2018, y a Truven, una empresa de datos sanitarios adquirida en 2016, que según el exejecutivo registró múltiples filtraciones tras la compra. En ambos casos, se denuncia la falta de investigación y comunicación adecuada sobre los incidentes.

El abogado de Barlow, Jason Brown, subrayó que “no se puede vender ciberseguridad al gobierno federal mientras supuestamente se tienen estos problemas de seguridad dentro de la propia empresa”. Brown afirmó que su firma tiene la intención de litigar el caso con firmeza.

Reacción y contexto regulatorio

La portavoz de IBM, Miki Carver, declinó responder preguntas específicas sobre la demanda y las acusaciones. En declaraciones a TechCrunch, Carver indicó: “Esta demanda se presentó hace seis años y el Departamento de Justicia de Estados Unidos se negó a intervenir. IBM confía en que nuestras acciones se ajustaron a la ley”.

El caso adquiere relevancia en un contexto en el que se han aprobado nuevas leyes de notificación de filtraciones de datos para reforzar la transparencia y la protección de usuarios y entidades públicas. La denuncia de Barlow pone en evidencia la magnitud de los ciberataques que pueden afectar a grandes empresas tecnológicas y la importancia de la notificación oportuna, especialmente cuando están involucrados proveedores de servicios críticos para gobiernos.