Petróleos Mexicanos (Pemex) reconoció que enfrenta una “situación continua de amenazas de ciberseguridad” y que si se concretan, podrían salir afectadas sus operaciones y mermar su situación financiera.

En su último informe ante la Securities and Exchange Commission (SEC) de Estados Unidos, la petrolera detalló una serie de riesgos de ciberseguridad que ponen en peligro sus operaciones. 

Entre estos se incluyeron “interrupciones comerciales, fallos en informes financieros, vulnerabilidades en sistemas industriales, robo de propiedad intelectual, fraude, extorsión, daños a empleados o clientes, piratería informática, malware, ciberterrorismo, mal uso de activos tecnológicos, fallas de control interno, fuga de información, litigios y riesgos de reputación”.

Enfrentamos ciertos riesgos continuos derivados de amenazas de ciberseguridad que, si se concretan, es razonablemente probable que nos afecten materialmente, incluidas nuestras operaciones, estrategia comercial, resultados de operaciones o situación financiera,

señaló Pemex en su informe, el cual forma parte de sus obligaciones como empresa pública.

Según la petrolera, si la integridad de los sistemas de tecnología de la información de Pemex se viera comprometida debido a ciberataques, por negligencia o mala conducta de sus empleados, podrían enfrentarse los siguientes escenarios:

Interrupciones en las operaciones de infraestructura crítica; acciones de carácter regulatorio; responsabilidades legales; daños a su reputación; una reducción significativa en los ingresos; un aumento en los costos (incluyendo aquellos asociados con la recuperación de la información y los activos).

Además de ello, se enfrenta a la pérdida de activos en las áreas afectadas como consecuencia de los ciberataques, “que a su vez podrían tener un efecto material adverso en su reputación, resultados de operación y condición financiera”.

De acuerdo con el informe Panorama de Amenazas de Kaspersky 2024, entre junio de 2023 y julio de este año,  Kaspersky  bloqueó más de 155 millones de ataques de malware en México, lo que equivale a 425,828 intentos por día o cerca de 295 ataques cada minuto.

En cuanto a los sectores más vulnerables, el reporte destaca que las áreas gubernamental (21.47%), manufactura (21.40%) y agricultura/forestal (19.08%) encabezan la lista de los más afectados por el malware en el país. 

“La predominancia de ataques en sectores críticos de la economía en la región demuestra que los ciberdelincuentes apuntan a datos y sistemas con potencial de causar grandes interrupciones”, dijo Fabio Assolini, director del Equipo Global de Investigación y Análisis de Kaspersky para América Latina.

Pemex y el mayor ciberataque en su historia

Pemex recordó el incidente más significativo de su historia en materia de ciberseguridad, que fue el 10 de noviembre de 2019, cuando detectó un ciberataque de ransomware que afectó a ciertas aplicaciones de software.

“Aunque el ciberataque no interrumpió la continuidad operativa de nuestro negocio, implementamos medidas correctivas de acuerdo con nuestros protocolos, destinadas a contener la extensión del ataque y preservar la integridad de nuestra información exclusiva”, detalló la compañía.

Subdirección de Tecnologías de la Información

Para gestionar estos riesgos, Pemex implementó procesos de seguridad cibernética a través de su Subdirección de Tecnologías de la Información y su Oficina de Seguridad de la Información, en coordinación con el Comité de Riesgos de su Dirección General. 

La Subdirección está compuesta por un subdirector, coordinadores y gerentes especializados, mientras que la Oficina de Seguridad de la Información, liderada por un jefe de gestión, cuenta con 24 profesionales certificados en ciberseguridad.

Como parte de los protocolos de Pemex recurre a empresas como el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU., la Organización Internacional de Normalización (ISO), la Sociedad Internacional de Automatización (ISA), la Comisión Electrotécnica Internacional (IEC), el Instituto Americano de Contadores Públicos (AICPA), la Alianza de Seguridad en la Nube (CSA) y el Centro para la Seguridad de Internet (CIS).

Pemex también dijo que su Centro de Respuesta a Incidentes Cibernéticos colabora con otras instancias especializadas en ciberseguridad en México, como el Centro de Respuesta a Incidentes Cibernéticos de la Guardia Nacional, y se nutre de información confiable de fuentes internacionales para coordinar sus respuestas ante eventos e incidentes de ciberseguridad con entidades especializadas.

Para mitigar los riesgos asociados a proveedores externos, la petrolera más endeudada del mundo utiliza rutinariamente cláusulas de confidencialidad, protección de propiedad intelectual y protección de datos personales en los contratos.

“Realizamos diligencia debida de terceros y exigimos a los proveedores de tecnología operativa que cumplan con los estándares y controles de ciberseguridad aplicables”, dijo la empresa.

Panorama de amenazas 

Kaspersky recomendó que las empresas y organizaciones, incluyendo gobiernos, refuercen sus defensas, ya sea destinando mayores montos presupuestarios, especialmente ante la creciente sofisticación de los ataques.

Sobre el monto presupuestario anual que Pemex asigna a la prevención de ciberataques, la empresa mantiene censurada esta información pública.

“Fundamento legal: Artículo 110, Fracción 1 de la LFTAIP. En virtud de tratarse de Información que se considera de seguridad nacional, va que se establecen las acciones y estrategias para la protección y salvaguardia de la infraestructura estratégica de Pemex”, se lee en los informes de la empresa.

Te puede interesar:

Para más información, visita nuestro canal de YouTube