IBM e AT&T são acusadas de ocultar ataques de hackers estrangeiros de órgãos dos EUA
A IBM e a AT&T estão no centro de uma grave acusação envolvendo segurança cibernética, contratos públicos e possível fraude contra o governo dos Estados Unidos. De acordo com uma ação judicial movida por William Barlow, ex-vice-presidente de inteligência de ameaças da IBM, as duas empresas teriam escondido, por anos, invasões de agentes estrangeiros em suas redes e em sistemas utilizados por órgãos federais norte-americanos, ao mesmo tempo em que garantiam, formalmente, cumprir requisitos rigorosos de segurança.
A ação foi protocolada em 2020, mas permaneceu sob sigilo por cerca de seis anos, até vir a público recentemente, após o Departamento de Justiça dos EUA decidir não intervir no caso. Essa decisão não encerra o processo: ela apenas indica que o governo não atuará como parte direta, permitindo que o denunciante siga adiante na Justiça em nome próprio, com base na Lei de Reclamações Falsas (False Claims Act).
Segundo Barlow, IBM e AT&T teriam minimizado, deliberadamente, o impacto de múltiplas violações de segurança para preservar contratos federais altamente lucrativos. A acusação sustenta que as empresas ocultaram ataques de adversários estrangeiros, apresentaram relatórios incompletos ou distorcidos às autoridades e, com isso, mantiveram a aparência de conformidade com exigências de segurança cibernética impostas por agências governamentais.
No centro da denúncia está o grupo APT 10, também conhecido como “Cloud Hopper”, vinculado por autoridades americanas a interesses do governo chinês. Entre 2013 e 2016, investigações internas da IBM teriam identificado mais de 50 mil tentativas ou acessos potencialmente maliciosos associados ao APT 10 contra a infraestrutura da companhia. Esse volume indica, segundo o processo, uma campanha de intrusão persistente e bem organizada, com foco em ambientes de alta criticidade.
Em uma análise posterior, ainda conforme a ação, invasores ligados ao APT 10 teriam conseguido chegar a quase 400 contas e cerca de 200 sistemas diferentes, distribuídos em 18 países. Isso sugere uma superfície de comprometimento ampla, com risco não apenas para a IBM, mas também para clientes governamentais que utilizam seus serviços de nuvem, outsourcing de TI e infraestrutura gerenciada. O processo afirma que a empresa não mantinha registros adequados que permitissem mapear, com precisão, a real extensão do comprometimento.
Um dos pontos mais delicados da denúncia é a interação com órgãos de inteligência dos EUA. Barlow relata que, em determinado momento, foi questionado por funcionários da Agência de Segurança Nacional (NSA) a respeito dos incidentes. Em vez de responder de forma direta e transparente, ele teria recebido orientação interna para “se esquivar” das perguntas, evitando fornecer detalhes que pudessem expor a dimensão dos ataques ou a possível falha em notificar adequadamente as autoridades competentes.
De acordo com o ex-executivo, não se tratava de incidentes pontuais ou de simples falhas de comunicação. Ele afirma que sofreu pressão explícita de outros dirigentes da IBM para atenuar o conteúdo de relatórios internos, retirar informações sensíveis e omitir detalhes sobre a atuação do APT 10. Essa suposta manipulação de relatórios teria ajudado a manter a narrativa de que a empresa mantinha seus ambientes sob controle, apesar dos sinais contrários.
O advogado de Barlow, Jason Brown, declarou que os contratos federais envolvidos somam bilhões de dólares e que o caso tem potencial para gerar consequências financeiras expressivas, caso a Justiça entenda que houve violação da Lei de Reclamações Falsas. Essa legislação prevê penalidades severas para empresas que fornecem informações enganosas ao governo em processos de contratação, especialmente quando envolvem áreas críticas como defesa, inteligência e infraestrutura estratégica.
A IBM, por sua vez, nega qualquer irregularidade. Em declaração pública, o porta-voz Adam Pratt afirmou que a empresa “seguiu a lei à risca”, rebatendo implicitamente a narrativa apresentada na ação. A companhia não forneceu mais detalhes sobre os incidentes citados por Barlow, nem comentou de forma específica as acusações relacionadas ao APT 10 ou à suposta pressão interna sobre relatórios de segurança.
Já a AT&T, apontada no processo como parceira envolvida na prestação de serviços de rede e infraestrutura ao governo, não se manifestou até o momento. O silêncio da operadora abre espaço para especulações, sobretudo porque o setor de telecomunicações é considerado peça-chave na proteção de dados governamentais, tráfego de comunicação e operações sensíveis de órgãos públicos.
A divulgação do processo reacende o debate sobre a responsabilidade de grandes provedoras de tecnologia e telecomunicações na proteção de dados governamentais. Empresas que operam redes, data centers e serviços de nuvem para o setor público lidam com informações de alto valor estratégico e, em tese, devem manter padrões de transparência rigorosos em caso de incidentes de segurança. A acusação de que ataques desse porte possam ter sido, ao menos em parte, encobertos lança dúvidas sobre a eficácia dos mecanismos de supervisão e auditoria existentes.
O histórico do grupo APT 10 reforça a gravidade das alegações. Essa operação de ciberespionagem é conhecida por explorar provedores de serviços gerenciados para, a partir deles, alcançar as redes de clientes finais, incluindo órgãos governamentais e grandes corporações multinacionais. Ao comprometer um grande fornecedor, invasores podem, potencialmente, abrir uma “porta lateral” para múltiplos alvos ao mesmo tempo, dificultando a detecção e ampliando o impacto dos ataques.
Caso se confirme que registros foram insuficientes ou deliberadamente negligenciados, isso expõe um problema estrutural de governança de segurança: sem logs completos e rastreáveis, fica quase impossível determinar quais informações foram acessadas, copiadas ou manipuladas pelos invasores, bem como avaliar riscos residuais e implementar medidas corretivas eficazes. Em um contexto de contratos públicos, essa falha não é apenas técnica, mas também regulatória e contratual.
Outro ponto crítico é o suposto conflito de interesse entre a necessidade de preservar receitas de contratos federais e a obrigação legal de relatar falhas de segurança. Em setores regulados, empresas são frequentemente obrigadas a notificar incidentes relevantes em prazos curtos. A denúncia sugere que, diante do temor de prejuízos financeiros e de reputação, a opção teria sido minimizar a gravidade das violações. Se essa conduta for comprovada, pode abrir precedente para ações similares contra outros fornecedores estratégicos.
A decisão do Departamento de Justiça de não intervir, por si só, não absolve nem condena as empresas. Em muitos casos, o governo opta por não se envolver diretamente por questões de prioridade, recursos ou estratégia, deixando que o caso siga como uma ação de iniciativa privada sob a False Claims Act. Ainda assim, o simples fato de o processo ter sido aceito e mantido sob sigilo por anos indica que as alegações foram consideradas, no mínimo, sérias o bastante para análise preliminar.
Para o ecossistema de cibersegurança, o caso funciona como alerta. Ele evidencia a importância de políticas robustas de resposta a incidentes, de uma cultura de transparência e de canais internos para denúncias protegidas. Organizações que prestam serviços para governos, em qualquer país, precisam garantir que decisões sobre relato de incidentes não sejam guiadas apenas por interesses comerciais, mas por obrigações legais e pela necessidade de proteger o interesse público.
Do ponto de vista dos órgãos contratantes, o episódio aponta para a necessidade de fortalecer cláusulas contratuais ligadas a segurança da informação, prever auditorias independentes periódicas e exigir evidências documentais da gestão de incidentes, em vez de depender exclusivamente de declarações das próprias fornecedoras. A ausência de governança robusta cria espaço para que falhas graves sejam mantidas fora do radar por anos.
Enquanto o processo avança, IBM e AT&T terão de lidar com o desgaste de imagem e com questionamentos de clientes corporativos e governamentais em todo o mundo. Mesmo que, ao final, a Justiça conclua que não houve fraude, o episódio já serve como demonstração de como a percepção de falta de transparência em questões de segurança cibernética pode se transformar em um problema reputacional de grandes proporções, especialmente num cenário em que ataques de grupos estatais e paraestatais se tornam cada vez mais frequentes e sofisticados.