IBM e AT&T são acusadas de ocultar invasões de hackers estrangeiros em redes usadas pelo governo dos EUA
A IBM e a AT&T estão no centro de uma grave acusação: segundo um processo movido nos Estados Unidos, as duas gigantes teriam escondido, durante anos, invasões de agentes estrangeiros em sistemas e redes utilizados por órgãos do governo federal americano. A denúncia foi apresentada por William Barlow, ex-vice-presidente de inteligência de ameaças da IBM, em 2020, sob a Lei de Reclamações Falsas, e permaneceu sob sigilo por seis anos. O caso só veio a público agora, depois que o Departamento de Justiça dos EUA decidiu não intervir no processo.
De acordo com Barlow, IBM e AT&T teriam conscientemente minimizado a gravidade de múltiplas violações de segurança para preservar contratos multimilionários com o governo. A acusação sustenta que as empresas teriam omitido ataques conduzidos por grupos de espionagem patrocinados por Estados estrangeiros, além de terem fornecido informações enganosas sobre as suas práticas de segurança cibernética às autoridades federais.
O ponto mais sensível da denúncia envolve o grupo de hackers conhecido como APT 10, associado, segundo o próprio Departamento de Justiça dos EUA, ao governo chinês. Entre 2013 e 2016, investigações internas da IBM teriam identificado mais de 50 mil acessos suspeitos ligados a esse grupo à infraestrutura da empresa. Esses acessos abrangeriam ambientes críticos, incluindo redes e sistemas que apoiavam operações governamentais.
Em uma análise posterior, ainda segundo o processo, os invasores teriam conseguido comprometer quase 400 contas e cerca de 200 sistemas distribuídos em 18 países. Barlow afirma que, apesar da escala do incidente, a IBM não mantinha registros completos que permitissem determinar o verdadeiro alcance do comprometimento. Essa suposta falta de rastreabilidade teria dificultado a avaliação de danos e, principalmente, a comunicação transparente às autoridades responsáveis pela proteção de dados governamentais.
A denúncia também cita um episódio em que funcionários da NSA, a Agência de Segurança Nacional dos EUA, teriam procurado Barlow para obter detalhes sobre as invasões. Em vez de responder com clareza, o executivo afirma que foi orientado internamente a “se esquivar” das perguntas, evitando fornecer informações que pudessem expor a magnitude das falhas de segurança ou o papel da empresa na gestão desses incidentes.
Barlow relata ainda ter sido pressionado por executivos da IBM a suavizar relatórios internos, amenizando a gravidade dos ataques detectados e omitindo elementos que pudessem indicar falhas sistêmicas de segurança. Esses relatórios teriam servido de base tanto para decisões internas quanto para comunicações com clientes de alto valor, incluindo órgãos governamentais e grandes empresas. Para o ex-executivo, essa conduta configuraria não apenas negligência, mas um esforço deliberado de encobrimento.
Jason Brown, advogado de Barlow, afirma que o caso envolve contratos federais avaliados em bilhões de dólares. Segundo ele, a decisão do governo de não ingressar formalmente na ação não deve ser interpretada como uma contestação ao mérito das acusações, mas sim como uma escolha estratégica, comum em processos com base na Lei de Reclamações Falsas. Essa legislação permite que particulares processem empresas em nome do governo quando suspeitam de fraude contra o erário.
A IBM, por sua vez, nega qualquer irregularidade. Em declaração por meio do porta-voz Adam Pratt, a empresa afirma que “seguiu a lei à risca” e que contesta as alegações apresentadas pelo ex-executivo. A companhia não detalhou quais procedimentos adotou em relação aos ataques atribuídos ao APT 10, nem comentou especificamente as acusações de pressão interna sobre Barlow. A AT&T, também citada no processo, não se manifestou sobre o caso até o momento.
O processo traz à tona questões centrais sobre transparência em incidentes de cibersegurança, especialmente quando envolvem contratos públicos. Se confirmadas, as acusações indicam que vulnerabilidades críticas teriam sido mantidas em sigilo, deixando sistemas governamentais potencialmente expostos a espionagem, roubo de dados sensíveis e manipulação de informações estratégicas. Em um cenário em que governos dependem cada vez mais de fornecedores privados de tecnologia, o caso reacende o debate sobre responsabilidade e governança na cadeia de suprimentos digital.
Outro ponto sensível é a dificuldade, para autoridades e clientes, de avaliarem o risco real quando informações sobre incidentes são parcial ou totalmente ocultadas. Em contratos com o governo, empresas costumam se comprometer a manter padrões elevados de segurança, reportar imediatamente violações relevantes e colaborar com investigações. A denúncia aponta justamente para a quebra dessa confiança, ao sugerir que os ataques foram minimizados para não colocar em risco acordos comerciais de alto valor.
O grupo APT 10, citado no processo, é conhecido no meio de cibersegurança por conduzir campanhas de espionagem complexas, focadas em roubo de propriedade intelectual, dados de pesquisa, informações industriais e segredos governamentais. Ataques desse tipo geralmente envolvem movimentação lateral silenciosa dentro das redes, uso de credenciais legítimas e técnicas avançadas para evitar detecção. Se hackers com esse perfil realmente acessaram dezenas de milhares de vezes a infraestrutura de uma grande fornecedora de tecnologia, o potencial de dano ultrapassa em muito um incidente isolado.
O caso também expõe o dilema enfrentado por profissionais de segurança que lidam com informações sensíveis dentro de grandes corporações. Pressões comerciais, medo de perda de contratos e impacto na reputação podem influenciar a forma como incidentes são descritos para a alta gestão e para clientes. Quando o denunciante ocupa uma posição de alto escalão, como no caso de um vice-presidente de inteligência de ameaças, o conflito entre obrigações éticas, legais e interesses de negócio tende a se tornar ainda mais agudo.
Para empresas que atuam no mercado de tecnologia e serviços gerenciados, o episódio serve de alerta em vários níveis. Em primeiro lugar, reforça a importância de manter registros detalhados de acessos, logs e rastros de atividades suspeitas, de forma a permitir investigações completas. Em segundo, evidencia a necessidade de políticas claras de divulgação de incidentes, com critérios objetivos sobre quando e como notificar clientes e autoridades, sem espaço para manipulações motivadas apenas por considerações comerciais.
Além disso, o processo destaca o papel da cultura organizacional. Ambientes em que profissionais de segurança sentem que podem ser punidos ou silenciados ao apontar problemas estruturais tendem a acumular riscos invisíveis, que só aparecem quando já é tarde. Incentivar canais seguros de denúncia interna, proteção a quem alerta sobre falhas e fiscalização independente de práticas de segurança são elementos cada vez mais discutidos em conselhos de administração e comitês de risco.
Do ponto de vista regulatório, casos como esse podem acelerar iniciativas que imponham obrigações mais rígidas de transparência em incidentes de cibersegurança, sobretudo quando há envolvimento de dados governamentais ou de infraestruturas críticas. Exigências de relatórios periódicos, auditorias externas e penalidades mais severas para omissão deliberada de violações tendem a ganhar espaço nas agendas de legisladores e agências fiscalizadoras.
Para organizações públicas e privadas que contratam grandes provedores de tecnologia, a lição principal é não tratar segurança apenas como uma cláusula contratual genérica. É essencial definir exigências de monitoramento contínuo, acesso a evidências de incidentes, métricas de desempenho de segurança e mecanismos claros de responsabilização. A dependência de grandes fornecedores não pode se traduzir em confiança cega, especialmente em um cenário de intensa atividade de grupos patrocinados por Estados.
Por fim, o caso IBM-AT&T ilustra um movimento mais amplo no ecossistema digital: a linha entre segurança nacional, competição econômica e responsabilidade corporativa está cada vez mais tênue. Quando empresas que sustentam a infraestrutura digital de governos e grandes organizações são acusadas de ocultar ataques de agentes estrangeiros, a discussão deixa de ser apenas técnica e passa a envolver questões éticas, geopolíticas e de governança global. Independentemente do desfecho judicial, o processo levanta um debate que tende a influenciar a forma como o mercado e os governos encaram a transparência em cibersegurança nos próximos anos.