William Barlow, exvicepresidente de inteligencia de amenazas de IBM, presentó en 2020 una demanda —desclasificada esta semana— en la que acusa a la compañía de haber sido hackeada en tres ocasiones durante la pasada década por gobiernos extranjeros y de haber ocultado después las intrusiones. La denuncia sostiene que piratas informáticos chinos vulneraron la red principal de IBM entre 2013 y 2016, y que la empresa no notificó a las autoridades estadounidenses ni al público.
Barlow, que dejó su cargo en agosto de 2019, asegura que al menos dos filiales también fueron atacadas y silenciadas. En particular, señala que IBM fue víctima de la campaña de intrusión del grupo APT 10, vinculado al gobierno chino, cuyos integrantes fueron imputados en 2018 por el entonces director del FBI, Christopher Wray, por atacar a lo más granado de la economía mundial.
Según la queja, oficiales de inteligencia de la alianza Cinco Ojos (Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos) advirtieron a IBM de la intrusión en marzo de 2017, lo que desencadenó una investigación interna. Esta concluyó que APT 10 pudo vulnerar la red de IBM en más de 56.000 ocasiones entre 2013 y 2016, accediendo a casi 400 cuentas y cerca de 200 sistemas en dieciocho países. La empresa alegó que no pudo investigar más porque no conservaba registros de accesos, una práctica básica de seguridad.
Barlow también acusa a IBM de no investigar ni notificar las intrusiones sufridas por Trusteer y Truven, dos startups adquiridas en 2013 y 2016, respectivamente. IBM, a través de su portavoz Miki Carver, declinó responder a preguntas específicas y aseguró que el Departamento de Justicia declinó intervenir y que la compañía actuó conforme a la ley.