El ataque con ransomware a Pemex exigía un pago de 4.9 millones de dólares en bitcoins a cambio de regresar información secuestrada. El tiempo establecido pasó y los ciberdelincuentes publicaron alrededor de 10 archivos de 2006 a 2014 en Doppel Leaks.
Ciudad de México, 6 marzo (SinEmbargo).– Ante la falta del pago de 4.9 millones de dólares en bitcoins, el grupo de ciberdelincuentes que atacó a Petróleos Mexicanos (Pemex) con el ransomware Doppelpaymer publicó en Doppel Leaks alrededor de 10 archivos comprimidos en carpetas de formato zip que datan entre 2006 y 2014, pero los responsables aseguran que tienen información más reciente, de acuerdo con Hiram Alejandro Camarillo, Director de InfoSec y Privacy en Seekurity.
Tras el ciberataque en noviembre, en las pantallas de las computadoras de la petrolera se mostraba el conteo de días restantes para pagar el “rescate” de la información robada, cuyo monto depende del número de equipos que impacta y los ingresos de la empresa. Ahora se sabe por la lista mostrada en el sitio que al tener acceso a uno o más servidores centrales, se saltaron a más de 186 mil equipos, ubicados en las refinerías de Salina Cruz, Minatitlán, Salamanca y Tula, en las terminales de Almacenamiento y Reparto (TAR) de Mexicali y Puebla, y en unidades médicas en Coatzacoalcos y Naranjos, en Veracruz, y en Ciudad del Carmen, Campeche.
“Es un riesgo muy grande porque es información de la red interna; de la infraestructura de Pemex. La red interna no puede cambiarse de la noche a la mañana, entonces la misma infraestructura que existía hace cinco años es la misma que sigue funcionando, es decir, aunque los archivos sean hasta 2014 les está funcionando al día de hoy. Tienen acceso a direcciones IP, cuáles son los dispositivos que están conectados dentro de la red, cuáles son las computadoras, los nombres de las computadoras, cómo están divididos los dominios…”, explicó el especialista.
“Eso le puede dar una idea a una persona de cómo poder entrar a la red y hasta dónde mucho más fácil y sin ser detectados. Es como si a nosotros nos dieran los planos de un edificio, lo comprendemos y sabemos cuántos pisos o cuartos tienen, cómo llegar y cuáles nos interesan”, ilustró Camarillo.
Y cualquiera que tenga acceso a la dirección de la página (doppleleaks.ino) puede acceder, revisar los archivos y descargarlos, aunque, advirtió el especialista en ciberseguridad Rigoberto Sandoval, es un riesgo ingresar porque los archivos a veces pueden estar infectados y dañar la computadora, aunque este tipo de ciberatacantes se enfocan en empresas y bancos.
“Como no obtuvo el dinero, publicó la información, lo cual tiene un daño en la imagen, credibilidad y desempeño de Pemex. Fue un golpe social al poner en evidencia de la poca capacidad que tiene para resguardar su información”, dijo. “Decían que la información personal de los trabajadores no estaba en peligro, pero ellos [los hackers] tienen la capacidad de extraer la información de las computadoras y de ingresar a otras cuentas desde esa computadora, ver contraseñas”.
El miembro de Seekurity Hiram Camarillo expuso que colocaron dos sitios, uno en la internet normal y otro en la red obscura, por si en algún momento dan de baja o denuncian al servidor donde están alojados, seguirán teniendo la réplica o el espejo de la información para poder volver a subirla.
HERMETISMO DE PEMEX
A lo largo del “secuestro” de la información, los movimientos administrativos de Pemex se pausaron y en los hospitales tuvieron problemas para emitir recetas y acceder a los expedientes médicos. El director general Octavio Romero Oropeza no se pronunció al respecto y los comunicados oficiales aseguraban que se operaba con “normalidad” y que solo el 5 por ciento de los equipos de cómputo había sido atacado. Sin embargo, terminó expandiéndose a más de 186 mil.
Ante la solicitud de información de un ciudadano sobre el origen y duración del ciberataque, las consecuencias y las medidas tomadas, la petrolera reservó la información por 5 años. El 28 de febrero el Presidente Andrés Manuel López Obrador se comprometió en la conferencia de prensa que pediría al titular de la petrolera un informe “y si es necesario que venga aquí y él informe”, pero no ha sucedido.
“No sabemos si Pemex ya realizó las medidas de seguridad necesarias como para ver si todos los equipos están a salvo y si ya hizo una evaluación de si estas personas continúan o no en la red interna. Si continúan, la infraestructura sigue en sus manos. No lo sabemos. Existe el riesgo de que en un futuro alguien quiera atacar a Pemex, depende de lo que esté haciendo”, dijo Hiram Camarillo, de Seekurity.
Pemex perdió durante 2019 más de 18 mil 367 millones de dólares, un 91.8 por ciento más que en 2018, reportó a finales de febrero. La producción de crudo fue de mil 684 millones de barriles diarios, 7.6 por ciento menos que en 2018, y la producción de gas natural cayó un 4 por ciento al situarse en tres mil 690 millones de pies cúbicos diarios.
“Pemex minimizó el impacto por imagen y credibilidad. No se está dimensionando el problema porque este tipo de ataques además de que dejas de trabajar el día a día, pega en la producción de Pemex. El no pagar 5 millones de dólares tendrá una repercusión que va a superar ese monto”, aseguró el especialista en ciberseguridad Rigoberto Sandoval.
Lo que tiene que hacer Pemex y todas las entidades gubernamentales, recomendó Camarillo de Seekurity, es mejorar su área de TI (tecnología de información) y de seguridad.
“No tengo duda de que el Gobierno invierte en infraestructura de seguridad, pero eso no implica tener a la gente capacitada que pueda utilizarla correctamente. Necesita consultores internos y externos que entiendan los riesgos e implicaciones”, afirmó.
