Visto: 198

¿Qué sucedió realmente con el hackeo a Pemex?

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

El hackeo a Pemex y la obsolescencia de los sistemas informáticos en México

El pasado domingo 10 de noviembre, Petróleos Mexicanos (Pemex) reportó un ataque cibernético a algunos de sus sistemas, principalmente las computadoras de algunos empleados, los cuales fueron bloqueados por medio de ransomware por el cual los atacantes exigían un rescate de 565 bitcoins (cerca de 5 millones de dólares) para liberar los equipos afectados.

De acuerdo con representantes de Pemex y el gobierno federal, el ataque alcanzó menos del 5% de sistemas pertenecientes a la compañía (3,000 de 60,000) y ninguno de ellos parte de un rol clave dentro del mecanismo de producción; la mayoría de los equipos “secuestrados” se encontraban en las áreas de comunicaciones, controles de calidad y el sistema de facturación de la empresa. Obviamente, el hackeo –que a los pocos días estaba bajo control, a pesar de que aún no se resuelve al 100%– entorpeció las operaciones diarias de la empresa y las labores de sus empleados, quienes tuvieron que recurrir a dispositivos móviles y redes externas para llevar a cabo tareas tan simples como enviar correos electrónicos.

De acuerdo con los reportes e investigación del equipo forense encargado del caso, el ataque se dio por medio del ransomware DoppelPaymer, una amenaza que bloquea ciertos archivos o programas de un equipo, exigiendo un pago a cambio de la liberación de los mismos. Durante el ataque, las víctimas reciben un mensaje con instrucciones para realizar el pago, por lo regular a través de una transferencia de Bitcoin en un sitio de la darknet, el cual requiere la instalación de un navegador TOR para acceder, lo cual conlleva aun más riesgos. CrowdStrike ha detectado este ransomware como el responsable de recientes ataques a otras instituciones gubernamentales a nivel mundial, como el Ministerio de Agricultura de Chile.

Aparentemente, tomando información de BleepingComputer y el experto en seguridad Vitali Kremez, el ransomware llegó a los sistemas de Pemex a través del troyano Emotet, el cual, en turno utilizó PowerShell para diseminar el “paquete” en la red de la empresa. Y es que, a pesar de ser un conjunto medianamente actual y complejo de malware, es algo que bien se pudo haber prevenido con un antivirus sencillo y el correcto entrenamiento de los empleados, pues la herramienta más común de infección de Emotet son documentos de Word maliciosos que solicitan permisos de administrador para arraigarse en el centro de comando de la computadora.

Se especula, también, que el ataque pudo haber sido interno y colocado directamente desde una memoria USB para después propagarse a otros equipos a través de la red (por ello que haya sido tan puntual y a baja escala). Sin embargo, las investigaciones forenses continúan y, por lo pronto, lo más importante ha sido reactivar cada uno de los sistemas afectados para regularizar el funcionamiento de cada una de las áreas de la empresa.

De cualquier manera, es evidente que el trabajo de monitoreo, prevención y contención realizado por el consorcio de ciberseguridad conformado por Tecnologías de Información América, Operbes, Soluciones Integrales Saynet, y Asesorías Integrales TI fue por demás deficiente. De hecho, Pemex había sido ya advertida por la Auditoría Superior de la Federación sobre las vulnerabilidades que existían en su sistema de seguridad. De acuerdo con el informe de la ASF, la empresa hizo un mal trabajo durante el proceso de

licitación, no contemplando cientos de equipos, usuarios y sistemas que debían ser protegidos; por su parte, el servicio provisto no contaba con monitoreo en puertos de red ni protección en computadoras portátiles de ciertos usuarios, con lo que se daba amplio acceso a los robos de información e instalación de malware.