Petróleos Mexicanos reconoció que se enfrenta a retos como las ciberamenazas y los ciberataques los cuales, dijo, “se están volviendo cada vez más sofisticados, coordinados y costosos”, además de otro dolor de cabeza: el robo de combustible.

 Ciudad de México, 14 de julio (SinEmbargo).– Petróleos Mexicanos (Pemex) reconoció que sus propios trabajadores puedan estar involucrados en el mercado ilícito de combustibles o en delitos cibernéticos que dañen a la empresa.

Pemex expuso en su reporte anual 20-F, que fue presentado a la Comisión de Valores de Estados Unidos, que la empresa está expuesta a riesgos de producción, equipos y transporte, actos criminales, bloqueos a sus instalaciones, ataques cibernéticos, fallas en su sistema de tecnología de la información y otros actos que podrían afectar negativamente el negocio.

“También estamos sujetos al riesgo de que algunos de nuestros empleados puedan participar, o puede percibirse, participar en el mercado ilícito de combustibles. Además, nuestras instalaciones están sujetas al riesgo de sabotaje, terrorismo y bloqueos”, aceptó la empresa en el registro  20-F, que cada año debe presentar ante ese regulador del mercado financiero estadounidense.

La petrolera mexicana detalló que sólo durante 2019 fueron descubiertas 10 mil 316 tomas ilegales de tuberías de combustibles. Otros riesgos que detectó fueron las ciberamenazas y los ciberataques que, dijo, “se están volviendo cada vez más sofisticados, coordinados y costosos”, y podrían estar dirigidos a sus operaciones o sistemas de información.

Por ello, afirmó Pemex, ha establecido una política de seguridad de la información para prevenir, detectar y corregir vulnerabilidades, pero no descartó verse afectados por la “mala conducta” de algunos de sus propios empleados.

“Aunque hemos establecido un programa de seguridad de la información que nos ayuda a prevenir, detectar y corregir vulnerabilidades, si la integridad de nuestro sistema de tecnología de la información se viera comprometida debido a otro ataque cibernético, o por negligencia o mala conducta de nuestros empleados, nuestro las operaciones comerciales podrían verse interrumpidas o incluso paralizadas y nuestra información de propiedad podría perderse o ser robada”, expuso la petrolera en su informe a la Comisión de Valores de EU.

Pemex recordó que el 10 de noviembre de 2019 detectó un ciberataque de ransomware (encriptación de datos y solicitud de dinero para liberarlos) dirigido a ciertas aplicaciones de software, pero no afectó su continuidad operativa, aseguró que después del ciberataque se implementaron medidas correctivas.

La empresa también resaltó que México ha experimentado un período “de creciente actividad criminal”, lo que podría afectar sus operaciones.

“En los últimos años, México ha experimentado un período de creciente actividad criminal, principalmente debido a las actividades de los carteles de la droga y las organizaciones criminales relacionadas. Además, el desarrollo del mercado ilícito de combustibles en México ha llevado a aumentos en el robo y el comercio ilegal de los combustibles que producimos”, dijo, y planteó que ese tipo de actividades y la violencia asociada podrían tener un impacto negativo en su situación financiera y sus resultados de operaciones.

Simulador del ataque de un tipo de ransomware. Imagen: captura de video de Youtube de Predrag Grujic.

CIBERDELITOS EN PEMEX

SinEmbargo publicó el 6 de marzo de este año que ante la falta del pago de 4.9 millones de dólares en bitcoins, el grupo de ciberdelincuentes que atacó a Pemex con el ransomware Doppelpaymer publicó en Doppel Leaks alrededor de 10 archivos comprimidos en carpetas de formato zip que datan entre 2006 y 2014, pero los responsables aseguran que tienen información más reciente, de acuerdo con Hiram Alejandro Camarillo, Director de InfoSec y Privacy en Seekurity.

Tras el ciberataque en noviembre, en las pantallas de las computadoras de la petrolera se mostraba el conteo de días restantes para pagar el “rescate” de la información robada, cuyo monto depende del número de equipos que impacta y los ingresos de la empresa. Ahora se sabe por la lista mostrada en el sitio que al tener acceso a uno o más servidores centrales, se saltaron a más de 186 mil equipos, ubicados en las refinerías de Salina Cruz, Minatitlán, Salamanca y Tula, en las terminales de Almacenamiento y Reparto (TAR) de Mexicali y Puebla, y en unidades médicas en Coatzacoalcos y Naranjos, en Veracruz, y en Ciudad del Carmen, Campeche.

A lo largo del “secuestro” de la información, los movimientos administrativos de Pemex se pausaron y en los hospitales tuvieron problemas para emitir recetas y acceder a los expedientes médicos. El director general Octavio Romero Oropeza no se pronunció al respecto y los comunicados oficiales aseguraban que se operaba con “normalidad” y que solo el 5 por ciento de los equipos de cómputo había sido atacado. Sin embargo, terminó expandiéndose a más de 186 mil.

Ante la solicitud de información de un ciudadano sobre el origen y duración del ciberataque, las consecuencias y las medidas tomadas, la petrolera reservó la información por 5 años. El 28 de febrero el Presidente Andrés Manuel López Obrador se comprometió en la conferencia de prensa que pediría al titular de la petrolera un informe “y si es necesario que venga aquí y él informe”, pero no ha sucedido.

“No sabemos si Pemex ya realizó las medidas de seguridad necesarias como para ver si todos los equipos están a salvo y si ya hizo una evaluación de si estas personas continúan o no en la red interna. Si continúan, la infraestructura sigue en sus manos. No lo sabemos. Existe el riesgo de que en un futuro alguien quiera atacar a Pemex, depende de lo que esté haciendo”, dijo Hiram Camarillo, de Seekurity.

Sobre ciberseguridad en Pemex, la Auditoría Superior de la Federación (ASF) observó en la Cuenta Pública 2018 que “en relación con la protección de equipos de usuario final, se identificó que algunos no se encontraban protegidos, lo que los hace vulnerables a los ataques cibernéticos”.

Asimismo, le advirtió que “no se gestiona activamente ni se actualizan las reglas de configuración de seguridad de los dispositivos de infraestructura de red, tampoco se cuenta con un proceso formal relacionado con dicha actividad”.

–Con información de Dulce Olvera.