56.000 intrusiones, 200 servidores en 18 países: un ex empleado de IBM revela detalles de un ataque sobre el que la compañía prefirió guardar silencio
Vender protección contra hackers es negocio. Reconocer que te han hackeado sería un exceso.
El exjefe de seguridad cibernética de IBM acusó a la empresa de haber ocultado varias filtraciones de datos. William Barlow, quien hasta agosto de 2019 encabezó la unidad de inteligencia de amenazas en IBM, afirma que la red de la compañía fue atacada por actores estatales al menos tres veces durante la última década y que IBM ocultó esos incidentes.
En la demanda judicial, presentada en 2020 y desclasificada esta semana, declaró que los piratas informáticos chinos se infiltraron en la red principal de IBM entre 2013 y 2016, pero la empresa no solo no lo reveló, sino que silenció los hechos de los ataques. Según Barlow, al menos dos filiales de IBM también fueron víctimas de intrusiones y la compañía ocultó esos incidentes.
Barlow afirma que «la red principal de IBM fue atacada regularmente por actores estatales y terceros», y que los datos con frecuencia fueron sustraídos, mientras que las autoridades «nunca fueron notificadas».
Aunque los supuestos hackeos ocurrieron hace más de diez años, muestran que los ciberataques, incluso contra grandes empresas tecnológicas públicas como IBM, a veces permanecen ocultos tanto al público como a las autoridades. Para IBM, que es un importante proveedor de ciberseguridad del gobierno de Estados Unidos, que la empresa haya ocultado tales incidentes tiene una importancia especial. En los últimos años se han aprobado leyes que obligan a revelar las filtraciones de datos para evitar este tipo de situaciones.
La portavoz de IBM, Miki Carver, se negó a responder preguntas concretas sobre la demanda, limitándose a decir que «esta demanda se presentó hace seis años, el Departamento de Justicia de Estados Unidos declinó intervenir. IBM está segura de que actuó conforme a la ley».
Barlow afirma que IBM fue una de las víctimas de la campaña APT 10 –un grupo vinculado al gobierno chino– que en 2018 el entonces director del FBI, Christopher Wray, denominó una amenaza para «las personas más influyentes» de la economía mundial. Los hackers penetraron tanto en la red de la empresa como en los datos que ésta almacenaba conjuntamente con AT&T.
Según la demanda, en marzo de 2017 los servicios de inteligencia de Australia, Canadá, Nueva Zelanda, Estados Unidos y Reino Unido advirtieron a IBM sobre la intrusión, lo que dio lugar a una investigación interna. Según sus resultados, APT 10 pudo acceder a la red de IBM más de 56 000 veces entre 2013 y 2016. Un problema clave fue la falta de registros sobre quién y cuándo accedía al sistema, algo que es una práctica básica de seguridad.
La empresa no notificó a ninguna de las autoridades, incluido el gobierno de Estados Unidos, que era uno de sus clientes clave. La demanda afirma que «la infraestructura de IBM y AT&T estaba obsoleta, por lo que los hackers podían penetrar repetidamente en el sistema y moverse casi sin ser detectados».
La investigación interna mostró que en la campaña de APT 10 se comprometieron cuatro servidores, y los atacantes obtuvieron acceso a casi 400 cuentas y a alrededor de 200 sistemas y servidores de IBM en 18 países y en numerosos productos de la compañía.
El abogado de Barlow, Jason Brown, declaró que tiene la intención de «buscar activamente que el caso sea resuelto en los tribunales» y subrayó: «No se puede vender ciberseguridad al gobierno federal teniendo estos problemas en la propia empresa».
Barlow también afirmó que otras filtraciones afectaron a la startup Trusteer, adquirida por IBM en 2013 y hackeada en 2018, así como a la empresa Truven, comprada por IBM en 2016, que sufrió varios ataques después de la adquisición. En ambos casos, acusa a IBM de no haber realizado una investigación exhaustiva ni de haber divulgado los hechos de las filtraciones.