Agencias / MonitorSur, XALAPA, Veracruz .- Pemex, la empresa estatal más importante del país, sufrió un ciberataque en noviembre del año pasado debido a que no instaló actualizaciones (parches) de seguridad en sus sistemas informáticos, señaló la Auditoría Superior de la Federación (ASF).
La petrolera estatal mexicana carece de controles adecuados de ciberseguridad lo que derivó en el ataque, de acuerdo con la segunda entrega del Informe de Fiscalización Superior de la Cuenta Pública 2019.
«Contribuyó para que los equipos de cómputo hayan sido secuestrados, ocasionando la pérdida de activos de información en los servidores y equipos de usuario final, así como la interrupción de los procesos de negocios de la empresa», señaló el reporte de la ASF.
El 10 de noviembre de 2019 un hacker logró tener acceso a las computadoras de Pemex. Explotó una vulnerabilidad en los servidores de Microsoft SharePoint que estaban expuestos en la red, precisó la auditoria.
La petrolera corrigió la falla seis meses antes del ataque. No obstante, Pemex falló en actualizar sus sistemas lo que abrió la posibilidad para el secuestro informático.
Pemex hizo público el ataque el 11 de noviembre de 2019. Aseguró que el funcionamiento de los sistemas de operación y producción operaban normalmente, y que el ataque se limitó al 5% de los equipos personales de cómputo.
Falta de control en inventarios de cómputo y equipos obsoletos
La ASF encontró que Pemex carece de un control en su inventario de computo. Existen diferencias en inventarios y falta documentación.
La auditoria también detectó servidores y computadoras con sistemas operativos obsoletos. Esto es un riesgo de seguridad, debido a que no cuentan con actualizaciones para remediar vulnerabilidades «que están expuestas a ataques cibernéticos».
Pemex tampoco reportó avances en 2019, con respecto al año anterior, en cuanto al inventario de su software autorizado y no autorizado (que no puede recibir dichas actualizaciones).
Esta falta de control se extiende a hardware y software en dispositivos móviles, laptops, estaciones de trabajo, así como servidores de la empresa. Pemex tiene un laxo control en la aplicación de software de seguridad, pruebas de penetración y ejercicios de equipo rojo (simulación de amenazas).
«Lo anterior, aumenta el riesgo de un incidente de seguridad informática que podría ocasionar un impacto negativo en los activos de información y procesos de negocio de la empresa», añadió la ASF.
En un secuestro informático se utiliza un «ransomware». Estos programas bloquean y encriptan los datos de un equipo, y pide a cambio una transferencia de recursos para devolver el acceso.
Con información del Comunicado de Prensa.
