Suscribirse

Suscríbete a nuestro boletín

¡Listo! Revisa tu correo

Para completar la suscripción, haz clic en el enlace de confirmación que enviamos a tu correo. Si no llega en 3 minutos, revisa tu carpeta de spam.

Ok, gracias
Política Legal

IBM y AT&T enfrentan demanda por presunto encubrimiento de hackeos extranjeros ante EE.UU.

Usar imagen sobria de fachada corporativa de IBM/AT&T si está disponible; alternativa Unsplash: "cybersecurity data center servers"

por Ricardo Perez
Publicado 4 min de lectura
IBM y AT&T enfrentan demanda por presunto encubrimiento de hackeos extranjeros ante EE.UU.

TL;DR:

  • Un exejecutivo de ciberseguridad de IBM acusa a IBM y AT&T de ocultar intrusiones de hackers extranjeros.
  • La demanda fue presentada bajo sello en 2020 y se hizo pública esta semana tras la decisión del Departamento de Justicia de no intervenir.
  • El caso pone bajo presión la confianza en proveedores de cloud y redes usados por agencias del gobierno de Estados Unidos.

El ex jefe de seguridad de IBM demanda a IBM y AT&T por ocultar ataques cibernéticos a sus sistemas desde el extranjero para mantener un contrato con el gobierno de Estados Unidos William Barlow, ex vicepresidente de análisis de amenazas de IBM, afirma que las dos compañías han ocultado ataques cibernéticos durante años y garantizado a los clientes la seguridad de su software compartido, pero estas garantías no están relacionadas con el dinero real.

La demanda no es una sentencia ni prueba por sí misma que IBM o AT&T hayan violado la ley. Es una acusación civil bajo la False Claims Act, una ley federal que permite a particulares demandar en nombre del gobierno cuando alegan fraude contra fondos públicos.

El Departamento de Justicia de Estados Unidos dijo que el gobierno no va a intervenir en el caso. La decisión del Departamento de Justicia no es una absolución ni una validación de la denuncia. En este tipo de litigios el gobierno puede decidir no tomar el control del proceso y aun así permitir que el demandante siga adelante.

La demanda acusa fallas en una red usada por clientes gubernamentales

De acuerdo con el reporte de Bloomberg, Barlow afirma que hackers extranjeros y actores no identificados penetraron repetidamente infraestructura cloud de IBM. La demanda sostiene que AT&T operaba una “Core Network” para IBM y que sus sistemas formaban parte de esa infraestructura.

Las acusaciones centrales son graves, pero deben leerse como alegatos judiciales:

  • Las compañías supuestamente no reportaron varias intrusiones al gobierno de Estados Unidos.
  • La demanda afirma que atacantes vinculados a gobiernos extranjeros estuvieron involucrados en algunos incidentes.
  • Barlow alega que IBM minimizó o escondió problemas antes de firmar acuerdos que exigían certificar que no tenía incidentes relevantes sin resolver.
  • El caso menciona infraestructura usada por dependencias federales, incluida la rama militar.
  • La denuncia sostiene que, en ciertos episodios, las compañías no podían determinar quién había entrado ni qué información había sido tomada.

IBM rechazó la implicación de ilegalidad a través de su vocero Adam Pratt:

“Esta demanda fue presentada hace seis años y el Departamento de Justicia de Estados Unidos declinó intervenir. IBM confía en que sus acciones cumplieron con la letra de la ley.”

AT&T no respondió a las solicitudes de comentario citadas en el reporte original.

3D render of cloud computing concept
Photo by Growtika / Unsplash

APT 10 aparece como una pieza delicada del caso

La acusación también menciona a un grupo llamado "APT10", que el Departamento de Justicia de Estados Unidos acusó en 2018 de mantener contactos con el Departamento de Seguridad Nacional de China y de realizar campañas de infiltración. En este juicio, el Departamento de Justicia acusó a dos presuntos miembros del grupo de participar en una operación global contra proveedores de servicios de gestión, empresas tecnológicas y agencias gubernamentales de Estados Unidos.

El Departamento de Justicia de los Estados Unidos confirmó que APT10 hackeó más de 40 computadoras, robó datos confidenciales de la Marina de los Estados Unidos y obtuvo información sobre más de 100.000 miembros del personal de la Marina. Sin embargo, esto es sólo una afirmación de Barlow-hechos que no están legalmente probados en este caso-y no es todavía seguro que el robo se llevó a cabo a través de una intrusión en la red IBM.

La demanda afirma que una investigación interna de IBM encontró más de 50,000 “posibles impactos de APT 10” entre 2013 y 2016. También sostiene que otra revisión identificó casi 400 cuentas comprometidas y cerca de 200 sistemas y servidores afectados en 18 países.

Ese punto puede convertirse en el corazón técnico del litigio: no solo si hubo intrusiones, sino qué sabían las compañías, cuándo lo supieron, qué pudieron investigar y qué estaban obligadas a decirle al gobierno.

El caso no gira únicamente alrededor de ciberseguridad. La pelea legal está conectada con dinero público.

La Ley de Reclamaciones Falsas permite a las empresas reclamar una indemnización cuando solicitan pagos al gobierno basándose en pruebas falsas o información engañosa. Según el Ministerio de Justicia, según la ley, las empresas pueden ser responsables de hasta tres veces las pérdidas del gobierno. Los denunciantes también pueden presentar lo que se denomina "demanda Qui-Tam" y, si ganan, recibirán parte del monto reclamado.

Jason T. Brown, abogado de Barlow, dijo que las acusaciones involucran miles de millones de dólares en negocio federal con IBM y AT&T:

“No puedes vender ciberseguridad al gobierno federal mientras supuestamente tienes estos problemas de seguridad dentro de tu propia compañía.”

La lectura de fondo es incómoda para todo proveedor tecnológico que vende servicios críticos al Estado: no basta con resistir ataques. También importa documentarlos, investigarlos y reportarlos cuando los contratos o la ley lo exigen.

Por qué este caso importa fuera de Estados Unidos

Para México y América Latina, la demanda no implica una afectación local confirmada. No hay, con la información disponible, un señalamiento directo sobre clientes mexicanos, datos mexicanos o contratos públicos en la región.

Lo relevante está en el precedente. Los gobiernos dependen cada vez más de los proveedores privados para la nube, las redes, el software y los servicios administrados. Si un contratista no puede reconstruir una intrusión por falta de los logs, o si el contratista minimiza el incidente para proteger los contratos, el problema deja de ser técnico y se vuelve institucional.

Ese es el ángulo más fuerte del caso Barlow: la demanda no solo acusa hackeos, acusa una posible falla de transparencia en una cadena tecnológica que sostiene servicios públicos y operaciones sensibles.

El litigio seguirá en una corte federal de Nueva York. Hasta que avance el proceso, la pregunta central no será solo si IBM y AT&T fueron atacadas, sino si dijeron todo lo que tenían que decir cuando vendieron confianza como parte de sus contratos.

Fuentes: 1, 2, 3

Ricardo Perez imagen de perfil
por Ricardo Perez
Publicado 4 min de lectura

Leer más de Política