Nacional
ASF exhibe la falla de Pemex por la que 11 mil computadoras fueron "secuestradas"
De los mil 182 servidores de Windows que fueron afectados durante el ataque, 203 tenían instalado el sistema operativo Windows 2003, versión sin soporte desde 2015.CIUDAD DE MÉXICO (apro).- El 10 de noviembre de 2019, cuando Petróleos Mexicanos (Pemex) sufrió un ciberataque durante el cual un ransomware “secuestró” 11 mil computadoras –una quinta parte de los aparatos de la empresa--, la petrolera llevaba seis meses sin instalar las actualizaciones de seguridad de Windows que protegían sus servidores de este ataque, señaló la Auditoría Superior de la Federación (ASF).
El organismo fiscalizador determinó que el pirata de Pemex penetró en los sistemas informáticos gracias a una vulnerabilidad en un servidor Microsoft Sharepoint que Microsoft había detectado tiempo atrás; incluso, el 12 de marzo y el 25 de abril de 2019 el gigante estadunidense liberó actualizaciones de seguridad para corregir esta falla.
“Sin embargo, dichas actualizaciones no se encontraban instaladas en los servidores de Pemex al momento del ataque, aun cuando habían pasado más de seis meses de su publicación”, insistió la ASF, que con el aparente deseo de exhibir el amateurismo de los empleados de sistemas de Pemex insistió en que “se tuvo la oportunidad de solventar la vulnerabilidad con la actualización de seguridad liberada por el fabricante, no obstante, la actualización no fue instalada y por ende la vulnerabilidad no fue remediada”.
Y no sólo esto: de los mil 182 servidores de Windows que fueron afectados durante el ataque, 203 tenían instalado el sistema operativo Windows 2003, una versión a la que la empresa estadunidense dejó de dar soporte en 2015, es decir, cuatro años antes del incidente, lo que representó un riesgo evidente ante cualquier amenaza.
La ASF advirtió que otros 703 servidores de Pemex usan Windows 2008, que dejó de recibir soporte en enero pasado, por lo que también quedaron vulnerables.
“Se detectaron servidores con sistema operativo que ya no tienen soporte con el fabricante, no obstante, no se tiene evidencia de acciones para migrarlos a una plataforma con soporte vigente. Esta situación aumenta los riesgos para la seguridad de la información, debido a que los servidores ya no cuentan con actualizaciones de seguridad y se encuentran vulnerables a los ciberataques”.
Según los hallazgos del informe, de las 462 aplicaciones que sufrieron durante el ataque, 98 siguen sin operar, a más de 10 meses de lo ocurrido.
La ASF también determinó que la petrolera carecía de herramientas para proteger las aplicaciones y los datos de los servidores; quizás no tenía un inventario de sus propios sistemas, y tampoco existe evidencia de que los sistemas de administración de estos servidores estaban actualizados.
Contrario a lo que se mencionó en ese entonces, Pemex no había dejado de pagar sus sistemas de información e infraestructuras tecnológicas, pues en 2019 gastó 2 mil 251 millones de pesos en ello, un monto similar al de 2018 y un poco superior a lo pagado en los tres años anteriores.
Más bien, el problema es sistémico, pues según la ASF “no se proporcionó evidencia que acredite que se llevan a cabo pruebas de penetración para la identificación de vulnerabilidades, sin embargo, la entidad señaló que se realizan pruebas técnicas manuales; no obstante, no se remitió el soporte documental en el que se precise en qué consisten dichas pruebas”.
De hecho, el organismo fiscalizador encontró que los especialistas no informaban a sus jefes sobre los incidentes de seguridad, y que “no fue sino hasta después del incidente cuando comenzaron las campañas de comunicación relacionadas con temas de ciberseguridad”.
Añadió: “En relación con los controles de ciberseguridad, respecto al ejercicio 2018, no se registran avances en el inventario de software autorizado y no autorizado; en las configuraciones seguras para hardware y software en los dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores; en la aplicación de software de seguridad, así como en las pruebas de penetración y ejercicios de equipo rojo; lo anterior aumenta el riesgo de un incidente de seguridad informática que podría ocasionar un impacto negativo en los activos de información y procesos de negocio de la empresa”.