Parte de la información que fue robada a Pemex a principios de noviembre de 2019, por medio de un ciberataque, ya está disponible públicamente.
En noviembre de 2019, la empresa fue afectada por el ransomware DopplePaymer, según Kaspersky, un software malicioso que infecta computadoras para exigir el pago de dinero para restablecer el funcionamiento del sistema. Aunque la empresa solo confirmó un intento de ataque y la afectación del 5% de los equipos de cómputo personales.
Hiram Camarillo, socio y director de seguridad y privacidad de la información en Seekurity, explica en entrevista para EL CEO que la información publicada es muy delicada debido a que detalla la operación interna de la petrolera.
El especialista comentó que hay diagramas de la red interna de una refinería, que al parecer, es la de Tula, Hidalgo.
Si tú tienes un diagrama de cómo están las computadoras, cuáles son los equipos, un detalle exacto de los sistemas operativos y de quién se comunica con quién, cuáles son los puertos y de quiénes son los administradores. Eso quiere decir que cualquier persona que quiera entrar a Pemex no va a necesitar atacarlos a través de Ransomware. Empezará a escanear todas las redes y direcciones IP. Va a ser muy fácil entrar a toda la red de Pemex.
Hiram Alejandro
Para validar que sean archivos legítimos, el especialista revisó los metadatos de algunos archivos y estos son: [*] Company: Pemex Refinacion. Produccion. [*] Creator: Refinería “Miguel Hidalgo” [*] Usuario: Administrator.
Camarillo explicó que Pemex utilizó Escritorio Remoto, protocolo extremadamente inseguro que permite a los atacantes tomar el control completo del equipo. Supone que Pemex lo utilizaba para no adquirir algún otro software o simplemente porque es lo único que saben usar.
También hay diagramas de la red interna de la Refinería Miguel Hidalgo donde se aprecia que @Pemex utiliza Escritorio Remoto para realizar las conexiones a equipos. ER es un protocolo muy vulnerable y probablemente la causa de el esparcimiento del #Ransomware pic.twitter.com/BIrkFhWhpL
— Hiram Alejandro (@hiramcoop) February 27, 2020
El ataque fue posible debido a que en algún momento alguno de los empleados abrió un archivo o correo electrónico infectado y así comenzó la infección del Ransomware. El protocolo le permitió saltar de una computadora a otra. Por eso es que tuvieron infecciones en tantos equipos; ciberatcantes dicen tener información de 186,143 equipos.
“No es nada recomendable porque si no los has actualizado, tal vez alguien puede encontrar tu equipo y explotar alguna vulnerabilidad para tomar el control total del equipo. Ésa es una desventaja”, dijo el Camarillo.
¿Cómo debe actuar Pemex?
Las primeras acciones como un cambio de contraseñas son primordiales, porque dentro de los archivos que fueron robados hay contraseñas en texto plano, dirección IP de cada uno de los equipos, nombre del equipo y del administrador, de acuerdo con Camarillo.
“Si un de esos equipos estuviera conectado directamente a Internet, las personas que tenga acceso a la información intentarán conectarse a los equipos para extraer información”
Camarillo comentó que se necesitan hacer todos los cambios necesarios para que la información quede nula si alguien la desee utilizar.
