CIUDAD DE MÉXICO (abril) .- El 10 de noviembre de 2019, cuando Aceite mexicanoPemex) sufrió un ciberataque durante el cual uno Secuestro de datos secuestró 11.000 computadoras, una quinta parte de los dispositivos de la compañía; la petrolera no ha instalado actualizaciones de seguridad de Windows para proteger sus servidores de este ataque durante seis meses, dijo el Auditor Superior de la Federación (ASF).
El organismo de inspección determinó que el Pirata de Pemex penetrado en sistemas informáticos, gracias a una vulnerabilidad en un servidor Microsoft Sharepoint que Microsoft detectó hace algún tiempo; Sin embargo, el 12 de marzo y el 25 de abril de 2019, el gigante de los Estados Unidos lanzó actualizaciones de seguridad para corregir esta falla.
Sin embargo, estas actualizaciones no estaban instaladas en los servidores de Pemex en el momento del ataque, aunque han pasado más de seis meses desde su publicación, insistió ASF, con el aparente deseo de mostrar el amateurismo de A los empleados de Pemex insistieron en que tenía el oportunidad de abordar la vulnerabilidad con la actualización de seguridad lanzada por el fabricante, sin embargo, la actualización no se ha instalado y, por lo tanto, la vulnerabilidad no se ha solucionado.
No solo eso: De los 1.182 servidores Windows afectados durante el ataque, 203 tenían instalado el sistema operativo Windows 2003., versión que la empresa estadounidense dejó de apoyar en 2015, es decir, cuatro años antes del incidente, lo que representó un riesgo evidente ante cualquier amenaza.
ASF advirtió que otros 703 servidores de Pemex usan Windows 2008, que dejaron de recibir apoyo en enero pasado, por lo que también eran vulnerables.
Se han detectado servidores con un sistema operativo que ya no es compatible con el fabricante, sin embargo, no hay evidencia de acciones para migrarlos a una plataforma con soporte actual. Esta situación aumenta los riesgos de seguridad de la información, ya que los servidores ya no tienen actualizaciones de seguridad y son vulnerables a los ciberataques.
Según las conclusiones del informe, de las 462 aplicaciones que sufrieron durante el ataque, 98 siguen sin funcionar, más de 10 meses después del incidente.
ASF también determinó que el La empresa petrolera no tenía herramientas para proteger las aplicaciones y los datos en los servidores.; puede que no tenga un inventario de sus propios sistemas y no hay evidencia de que los sistemas de administración de esos servidores estuvieran actualizados.
Al contrario de lo que se mencionó en ese momento, Pemex no ha dejado de pagar por sus sistemas de información e infraestructuras tecnológicas, pues en 2019 gastó con él 2,251 millones de pesos, monto similar al de 2018 y levemente superior a lo que se pagó en los tres años anteriores.
Señorita buena el problema es sistémicoSegún la ASF, no se ha presentado evidencia que acredite la realización de pruebas de penetración para identificar vulnerabilidades, sin embargo, la entidad señaló que se realizan pruebas técnicas manuales; sin embargo, no se envió ningún soporte documental que especifique en qué consiste la prueba.
De hecho, el perro guardián descubrió que los expertos no informaron a sus jefes sobre incidentes de seguridad, y que fue solo después del incidente que comenzaron las campañas de comunicación relacionadas con temas de ciberseguridad.
Agregó: En cuanto a los controles de ciberseguridad, en comparación con 2018, no hubo avances en el inventario de software autorizado y no autorizado; configuraciones seguras de hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores; en la aplicación de software de seguridad, así como en pruebas de penetración y ejercicios del equipo rojo; Esto aumenta el riesgo de un incidente de ciberseguridad que puede tener un impacto negativo en los activos de información y los procesos comerciales de la empresa.
