CIUDAD DE MÉXICO (apro) .- 10 de noviembre de 2019, cuando Aceite mexicanoPemex) sufrió un ciberataque durante el cual un Secuestro de datos secuestró 11,000 computadoras, una quinta parte de los dispositivos de la compañía; la compañía petrolera no había instalado actualizaciones de seguridad de Windows para proteger sus servidores de este ataque durante seis meses, dijo el auditor senior de la federación ( ASF).
El organismo de inspección determinó que el Pirata de Pemex penetrado en sistemas informáticos gracias a una vulnerabilidad en un servidor Microsoft Sharepoint que Microsoft había detectado hace algún tiempo; Incluso el 12 de marzo y el 25 de abril de 2019, el gigante estadounidense lanzó actualizaciones de seguridad para corregir esta falla.
Sin embargo, estas actualizaciones no estaban instaladas en los servidores de Pemex al momento del ataque, aunque han pasado más de seis meses desde su lanzamiento, insistió la ASF, con el aparente deseo de mostrar el amateurismo de los empleados de los sistemas de comunicación. Pemex insistió en que tenía la opción de arreglar la vulnerabilidad con la actualización de seguridad lanzada por el fabricante, sin embargo, la actualización no se instaló y por lo tanto la vulnerabilidad no se instaló. sido corregido.
Y no solo esto: De los 1.182 servidores Windows afectados por el ataque, 203 tenían instalado el sistema operativo Windows 2003., versión que la empresa estadounidense dejó de apoyar en 2015, cuatro años antes del incidente, lo que representaba un claro riesgo ante cualquier amenaza.
ASF ha advertido que 703 otros servidores de Pemex usan Windows 2008, quienes dejaron de recibir apoyo en enero pasado, por lo que también eran vulnerables.
Se han detectado servidores con un sistema operativo que ya no es compatible con el fabricante, sin embargo, no hay evidencia de acciones para migrarlos a una plataforma con soporte actual. Esta situación aumenta los riesgos de seguridad de la información, ya que los servidores ya no tienen actualizaciones de seguridad y son vulnerables a los ciberataques.
Según los hallazgos del informe, de las 462 aplicaciones sufridas en el ataque, 98 siguen sin funcionar, más de 10 meses después de lo ocurrido.
La ASF también determinó que el la compañía petrolera carecía de herramientas para proteger las aplicaciones y los datos en los servidores; quizás no tenía un inventario de sus propios sistemas, y tampoco hay evidencia de que los sistemas de administración en esos servidores estuvieran actualizados.
Al contrario de lo mencionado en su momento, Pemex nunca ha dejado de pagar por sus sistemas de información e infraestructuras tecnológicas, porque en 2019 gastó allí 2251 millones de pesos, monto similar al de 2018 y un poco superior a lo que se había pagado en los tres años anteriores.
Sra. Bien, el problema es sistémicoSegún la ASF, no se ha aportado evidencia que demuestre que se realizan pruebas de penetración para identificar las vulnerabilidades, sin embargo, la entidad señaló que se encuentran en curso pruebas técnicas manuales; sin embargo, no se envió el soporte documental que especifica en qué consiste esta prueba.
De hecho, el perro guardián descubrió que los especialistas no informaron a sus jefes sobre incidentes de seguridad, y fue solo después del incidente que comenzaron las campañas de comunicación relacionadas con temas de ciberseguridad.
Agregó: En cuanto a los controles de ciberseguridad, respecto a 2018, no se ha avanzado en el inventario de software autorizado y no autorizado; en configuraciones seguras para hardware y software de dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores; en la aplicación de software de seguridad, así como en las pruebas de penetración y ejercicios del equipo rojo; Esto aumenta el riesgo de un incidente de ciberseguridad que podría afectar negativamente los activos de información y los procesos comerciales de la empresa.
«Explorador apasionado. Aficionado al alcohol. Fanático de Twitter. Webaholic galardonado. Aficionado a la comida. Geek de la cultura pop. Organizador».