ASF aún observa vulnerable a Pemex

Después de transcurridos once meses del mayor ataque cibernético a Petróleos Mexicanos (Pemex), la Auditoría Superior de la Federación dictaminó que la petrolera "sigue mostrando vulnerabilidad en sus sistemas que aumenta el riesgo de un incidente de seguridad informática que podría ocasionar un impacto negativo en los activos de información y procesos de negocio de la empresa".

En los resultados de Informes Individuales de la Fiscalización Superior de la Cuenta Pública 2019, que corresponde al primer año de esta administración, el organismo sostiene que hubo responsabilidad de funcionarios públicos, que, en su gestión en 2018, no atendieron las recomendaciones para fortalecer la ciberseguridad de la petrolera.

Pero añade, que a octubre de este año y con base en los resultados obtenidos en la auditoría practicada, cuyo objetivo fue "fiscalizar la gestión financiera de las contrataciones relacionadas con las tecnologías de la información y comunicación (TIC)", se detectaron inconsistencias que aún persisten, a pesar de que entre 2015 y 2019, Pemex invirtió 11 mil 545.5 millones de pesos miles de pesos en sistemas de información e infraestructuras tecnológicas.

"Las deficiencias persisten en los controles asociados al inventario de software autorizado y no autorizado; configuraciones seguras para hardware y software en los dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores; aplicación de software de seguridad, así como en las pruebas de penetración y ejercicios de equipo rojo; lo anterior puede causar un impacto en la seguridad de los activos de información, así como en los procesos de negocio de la empresa", lo que representa incumplimiento de la Ley General de Responsabilidades Administrativas, publicada en el Diario Oficial de la Federación el 18 de julio de 2016.

Se carece, por ejemplo, de un adecuado control, manejo, evaluación, supervisión y validación del inventario de equipos de cómputo, debido a las diferencias en el control de Inventarios, determinados durante la auditoría y por la falta de evidencias del soporte documental que deje constancia de las revisiones o cambios para acreditar el detalle de los equipos pagados mensualmente.

Se detectaron servidores y equipos de cómputo con sistemas operativos obsoletos que ya no cuentan con soporte por parte del fabricante, lo cual aumenta el riesgo para la seguridad de la información, debido a la falta de actualizaciones de seguridad para remediar vulnerabilidades que están expuestas a ataques cibernéticos.

Además, la vulnerabilidad de los servidores Microsoft SharePoint que estaban expuestos a la web, la cual fue explotada por el hacker en el incidente de seguridad informática del 10 de noviembre de 2019, había sido corregida por el fabricante seis meses antes del ataque, sin embargo, debido a la falta de gestión de actualizaciones de seguridad (parches), entre otros controles, la vulnerabilidad no fue remediada por Pemex, lo que contribuyó para que los equipos de cómputo hayan sido secuestrados, ocasionando la pérdida de activos de información en los servidores y equipos de usuario final, así como la interrupción de los procesos de negocio de la empresa.

En ese momento, la empresa reconoció que fueron afectados 1 mil 182 servidores Windows de los cuales 203 (17.2%) tenían instalado el sistema operativo Windows 2003; 703 (59.5%) Windows 2008; 216 (18.3%) Windows 2012 y 60 (5.0%) Windows 2016; respecto a los servidores 166 (14.0%) son físicos y 1,016 (86.0%) son virtuales.

Asimismo, se identificó que 1 mil138 (96.3%) de los servidores afectados corresponden al ambiente productivo; 9 (0.7%) al ambiente de calidad y 35 (3.0%) al ambiente de desarrollo.

En relación con los equipos de usuario final (portátiles y de escritorio), se identificó que Pemex cuenta con alrededor de 56 mil 393 equipos de cómputo, de los cuales 11,054 (19.6%) fueron afectados por el incidente de seguridad; dichos equipos tienen instalado el sistema operativo Windows 7, 8.1 y 10; cabe señalar que el soporte ampliado del fabricante para Windows 7 finalizó el 14 de enero de 2020.

De los 11 mil 054 equipos afectados se identificó que 9 mil 242 (83.6%) contaban con el agente ATP (Protección Avanzada contra Amenazas) y mil 812 (16.4%) no lo tenían; para el caso del agente DLP (Prevención de Pérdida de Datos), se identificó que 8 mil 21 (72.6%) lo tenían instalado y 3 mil 33 (27.4%) no.

La ASF explica que se pudo observar "que no fue sino hasta después del incidente de seguridad cuando comenzaron las campañas de comunicación relacionadas con temas de ciberseguridad y se generan eventos de formación (e-learning)".

Sin embargo, subraya que se desconocen las actividades realizadas para la preservación de las evidencias (personal que tuvo acceso a las evidencias, procedimientos para trabajar con la evidencia, procedimiento de cadena de custodia), por lo que no se puede emitir un pronunciamiento al respecto.