Ciudad de México. Pemex, la empresa más grande del país, la tercera petrolera más rentable del mundo y que en 2019 ejerció 2 mil 251 millones de pesos en contratos relacionados con las tecnologías de información y comunicaciones (TIC), usa servidores y equipos de cómputo con sistemas operativos obsoletos y no actualiza los parches de seguridad de sus sistemas informáticos.
De acuerdo con un informe de la Auditoría de Superior de la Federación (ASF), esto la hace vulnerable a ataques cibernéticos, como el del 10 de noviembre de 2019, cuando unos 6 mil equipos de la paraestatal –alrededor de 5 por ciento de sus computadoras y servidores– fueron hackeados por un grupo de delincuentes informáticos que después pidió como rescate 565 bitcoins, equivalentes a 4.9 millones de dólares, que el gobierno se negó a pagar.
En este caso, en el que se robaron cerca de 180 mil archivos, que incluyen contraseñas, bases de datos, programas de vigilancia, entre otros, la ASF encontró que la vulnerabilidad de los servidores secuestrados había sido corregida por el fabricante seis meses antes del hackeo, pero Pemex no actualizó sus equipos.
En una revisión hecha en el contexto de la fiscalización de la Cuenta Pública 2019, la ASF señala que con la falta de gestión de las actualizaciones de seguridad y de otros controles, Pemex contribuyó al hackeo que ocasionó la pérdida de archivos, así como la interrupción de los procesos de negocio de la empresa, cuyas ventas ascendieron ese año a un billón 401 mil 917.2 millones de pesos.
Entre 2015 y 2019, Pemex invirtió 11 mil 545 millones 579 mil pesos en sistemas de información e infraestructuras tecnológicas. Pese a ello, la ASF encontró que de los mil 182 servidores secuestrados hace año y medio, más de 76 por ciento tiene versiones de Windows a las que Microsoft ha dejado de dar soporte.
Y de las 11 mil 54 computadoras de escritorio y portátiles que fueron infectadas con un ransomware –software malicioso usado para el secuestro de información– 27 por ciento no tenían instalado el agente DLP (prevención de pérdida de datos), y 16 por ciento no tenía el ATP (agente de protección avanzada contra amenazas), lo que ya había sido advertido a la petrolera un año antes por la ASF.
En el año del ataque, Pemex destinó 2 mil 753 millones 448 mil pesos a costos relacionados con su personal de las áreas de TIC. Considerando que en 2019, 2 mil 512 empleados trabajaban en lo relacionado con informática y comunicaciones, el sueldo promedio en esta área de la petrolera es de un millón 39 mil pesos al año.
Para la ASF, Pemex carece de un adecuado control, manejo, evaluación, supervisión y validación del inventario de equipos de cómputo.
Todo esto “aumenta el riesgo de un incidente de seguridad informática que podría ocasionar un impacto negativo en los activos de información y procesos de negocio de la empresa”.