Ex ejecutivo de ciberseguridad de IBM acusa a la empresa de encubrir una infracción de piratería informática china

Un ex ejecutivo de ciberseguridad de IBM acusó a la empresa de encubrir múltiples violaciones de datos por parte de piratas informáticos vinculados al estado chino. William Barlow se desempeñó como vicepresidente de inteligencia de amenazas de IBM hasta agosto de 2019. En una demanda de denunciante revelada esta semana, alegó que IBM sabía de la violación y intencionalmente no notificó a las autoridades estadounidenses.

La demanda se presentó originalmente bajo sello en 2020. Se centra en una campaña de piratería informática de APT 10, un grupo vinculado al gobierno chino cuyos miembros fueron acusados ​​en 2018. El entonces director del FBI, Christopher Wray, describió los objetivos del grupo como "Quién es"La economía mundial.

Barlow alegó que una investigación interna de IBM encontró más de 56.000 posibles intrusiones APT 10 entre 2013 y 2016. La escala fue enorme. Según un informe interno citado en la denuncia, los atacantes accedieron a unas 400 cuentas comprometidas y unos 200 sistemas en cada unidad de negocio de IBM.

La infracción abarcó 18 países y múltiples productos de IBM. Los piratas informáticos también penetraron en los datos mantenidos por IBM en asociación con AT&T, que también se menciona en la demanda.

En marzo de 2017, funcionarios de inteligencia de la alianza Five Eyes alertaron a IBM sobre la violación. Esto provocó una investigación interna. Pero IBM no pudo evaluar completamente el daño porque no mantuvo registros de quién accedió a su red y cuándo, una práctica de seguridad básica.

A pesar de estos hallazgos, IBM supuestamente nunca reveló la infracción a las autoridades. El gobierno de Estados Unidos es uno de sus mayores clientes. IBM es un importante proveedor de ciberseguridad para agencias federales, lo que hace que la supuesta privacidad sea particularmente importante.

Barlow alega que la infraestructura de red central de la empresa "antiguo"Los piratas informáticos pueden" moverse casi a cualquier lugar ", afirmó.

Las violaciones se extendieron más allá de la red central de IBM. Barlow alegó que Trusteer, una startup de ciberseguridad que IBM adquirió en 2013, fue vulnerada en 2018. Truven, una empresa de datos sanitarios que IBM compró por 2.600 millones de dólares en 2016, fue vulnerada varias veces después de la adquisición.

En ambos casos, acusó a IBM de no investigar ni revelar adecuadamente el incidente.

El portavoz de IBM, Mickey Carver, se negó a responder preguntas específicas. Le dijo a TechCrunch: "La denuncia se presentó hace seis años y el Departamento de Justicia de Estados Unidos se negó a intervenir. IBM confía en que nuestras operaciones siguen la letra de la ley."

La decisión del Departamento de Justicia de no intervenir no pone fin al caso. Un juez federal de Nueva York ordenó que se revelara el caso. El abogado de Barlow, Jason Brown, le dijo a TechCrunch que su firma es "Esperamos procesar agresivamente el asunto."

Marrón añadió: "No se puede vender ciberseguridad al gobierno federal porque su propia empresa tiene estos problemas de seguridad."

El caso subraya un problema persistente en la ciberseguridad corporativa: violaciones que nunca salen a la luz. Uber pagó 148 millones de dólares en 2018 después de que una infracción en 2016 afectara a 57 millones de usuarios. Las oficinas de la ONU en Ginebra y Viena descubrieron violaciones encubiertas

Las nuevas reglas de la SEC exigen que las empresas públicas revelen incidentes importantes de ciberseguridad dentro de los cuatro días hábiles posteriores a la supuesta violación de IBM. La aplicación de la ley sigue siendo desigual.