El exejecutivo de ciberseguridad de IBM acusa a la empresa de ocultar violaciones de hackeo chinas.

      TL;DR El ex vicepresidente de inteligencia de amenazas de IBM alega que la compañía ocultó violaciones por parte de hackers estatales chinos entre 2013 y 2016 y nunca informó a las autoridades. El caso está ahora en los tribunales. Un exejecutivo de ciberseguridad de IBM ha acusado a la compañía de ocultar múltiples violaciones de datos por parte de hackers vinculados al estado chino. William Barlow fue vicepresidente de inteligencia de amenazas de IBM hasta agosto de 2019. En una demanda de denunciante dessellada esta semana, alegó que IBM conocía las violaciones y deliberadamente no notificó a las autoridades estadounidenses. La demanda fue presentada originalmente bajo sello en 2020. Se centra en una campaña de hacking por parte de APT 10, un grupo vinculado al gobierno chino cuyos miembros fueron acusados en 2018. El entonces director del FBI, Christopher Wray, describió los objetivos del grupo como un "Quién es quién" de la economía global. Barlow alegó que una investigación interna de IBM encontró más de 56,000 posibles intrusiones de APT 10 entre 2013 y 2016. La escala fue enorme. Según un informe interno citado en la denuncia, los atacantes accedieron a casi 400 cuentas comprometidas y casi 200 sistemas en todas las unidades de negocio de IBM. La violación abarcó 18 países y múltiples productos de IBM. Los hackers también infiltraron datos que IBM mantenía en asociación con AT&T, que también está nombrada en la demanda. En marzo de 2017, funcionarios de inteligencia de la alianza de los Cinco Ojos advirtieron a IBM sobre la violación. Eso provocó una investigación interna. Pero IBM no pudo evaluar completamente el daño porque no había mantenido registros de quién accedió a su red y cuándo, una práctica de seguridad básica. A pesar de esos hallazgos, IBM supuestamente nunca divulgó las violaciones a las autoridades. El gobierno de EE. UU. es uno de sus mayores clientes. IBM es un importante proveedor de ciberseguridad para agencias federales, lo que hace que la supuesta ocultación sea particularmente significativa. La queja de Barlow describió la infraestructura de red central de la compañía como "arcaica". Los hackers podían "deambular casi en cualquier lugar sin ser detectados", afirmaba. Las violaciones se extendieron más allá de la red central de IBM. Barlow alegó que Trusteer, una startup de ciberseguridad que IBM adquirió en 2013, fue violada en 2018. Truven, una empresa de datos de salud que IBM compró en 2016 por 2.6 mil millones de dólares, fue violada múltiples veces después de la adquisición. En ambos casos, acusó a IBM de no investigar adecuadamente ni divulgar los incidentes. La portavoz de IBM, Miki Carver, se negó a responder preguntas específicas. Ella dijo a TechCrunch: "Esta queja fue presentada hace seis años, y el Departamento de Justicia de EE. UU. se negó a intervenir. IBM está segura de que nuestras acciones siguieron la letra de la ley." La decisión del DOJ de no intervenir no pone fin al caso. Un juez federal en Nueva York ordenó dessellar la demanda. El abogado de Barlow, Jason Brown, dijo a TechCrunch que su firma "espera litigar agresivamente el asunto." Brown agregó: "No puedes vender ciberseguridad al gobierno federal mientras supuestamente tienes estos problemas de seguridad dentro de tu propia empresa." El caso subraya un problema persistente en la ciberseguridad corporativa: violaciones que nunca salen a la luz. Uber pagó 148 millones de dólares en 2018 después de ocultar una violación de 2016 que afectó a 57 millones de usuarios. Las Naciones Unidas fueron sorprendidas ocultando una violación en sus oficinas de Ginebra y Viena. Desde las supuestas violaciones de IBM, nuevas reglas de la SEC han requerido que las empresas públicas divulguen incidentes de ciberseguridad materiales dentro de cuatro días hábiles. La aplicación sigue siendo desigual.