PemexLeaks: el robo de información que la petrolera quiso ocultar
Por Nayeli Meza y Eduardo Buendía
Miles de archivos robados a Petróleos Mexicanos a finales de 2019 se encuentran en la red oscura. Por primera vez, parte de estos documentos salen a la luz, luego de que autoridades del actual gobierno escondieron la información que muestra la vulnerabilidad de la empresa insignia del Estado ante ataques cibernéticos.
Petróleos Mexicanos (Pemex) sufrió el peor ciberataque en su historia. En vez de revelar el nivel de afectación a su sistema de seguridad informática, la empresa a cargo de Octavio Romero Oropeza minimizó las consecuencias y escondió la información a los mexicanos. Hoy, 180 mil archivos (6 gigabytes) secuestrados siguen flotando en el lado más oscuro del internet.
ONEA México tuvo acceso a los documentos que fueron extraídos el 10 de noviembre de 2019, gracias a fuentes con conocimiento en la red oscura (deep web). En el paquete se incluyen usuarios de trabajadores, contraseñas, manuales de operación vía remota de la Refinería de Tula, bases de datos, bitácoras, programas de vigilancia y gráficas para interpretar la producción.
Los archivos dejan al descubierto la debilidad de la compañía pública más importante para el gobierno del presidente Andrés Manuel López Obrador y también muestran que algunos empleados de la petrolera ignoran el nivel de importancia que tiene la ciberseguridad en el manejo de complejos petroleros.
Al día siguiente del ataque, la Empresa Productiva del Estado (EPE) minimizó el hecho en un comunicado al asegurar que solo 5% de sus equipos personales de cómputo habían sido infectados con un ransomware. La agresión se le atribuyó a la banda de hackers DoppelPaymer.
Rocío Nahle, secretaria de Energía, dijo públicamente que no se negociaría con la cibercélula y que tampoco pagarían 565 bitcoins por el rescate, equivalentes a 4.9 millones de dólares.
“No se va a pagar, Pemex es una empresa seria y ya está la gente de informática trabajando en ello (…) son hackers grandes, no sabemos de qué parte del mundo”, declaró la titular de Sener tres días después del ataque confirmando la vulneración.
Parte de los archivos secuestrados
Una de las fuentes de ONEA México encargadas de recopilar y descargar los miles de archivos lo hizo a través del navegador Tor en un sitio que la banda atacante utilizó para difundir los elementos secuestrados a la EPE.
Dentro de lo que se recuperó hay bases de datos con los usuarios y contraseñas de trabajadores que sirven para hacer uso de sistemas con una seguridad mínima, debido a que hay passwords con numeraciones consecutivas, palabras altisonantes o frases sencillas de descifrar, situación que evidencia la despreocupación de las áreas encargadas de operar y proteger las plataformas de la petrolera.
En el paquete se encuentra un elemento titulado “Accesos remotos a los controles distribuidos de la Ref. ‘Miguel Hidalgo’ por medio del servidor (continúa una IP que se prefiere mantener oculta)” se encuentra un listado de 45 direcciones IP, cada una corresponde al manejo de una planta las cuales son nombradas como bombas, hidros, combinada, azufre, que se refiere al tratamiento de agua y otros componentes que se utilizan para refinar los petrolíferos.
En la columna de usuarios, de los 45 elementos de la lista, en 23 aparece la palabra “administrator” o “administrador”, lo que muestra la falta de controles y lo sencillo que sería acceder a estos sistemas; el restante utiliza otros nombres como “fox”, “ps_user”, o “CENTUM/administrator”.
Aunque la mayoría de los password de acceso cuentan con palabras, letras clave y números, llama la atención una de las llaves del Sector 10, y que sirve para maniobrar una planta HDR (hidrodesulfuración de residuales) que se encarga de extraer el azufre y sus compuestos durante el proceso de refinación.
El usuario para ingresar al servidor vía remota de esta planta HDR es “fox” y la clave es “nomames”.
En otros elementos del archivo, las contraseñas son la palabra “password”, “TULA2013”, “Welcome100”, “SDHPASS” y “gnomes”.
Usuarios y contraseñas para realizar operaciones de la Refinería de Tula evidencian la falta de seriedad por parte de los trabajadores de Pemex.
El descuido en el manejo en la ciberseguridad de Pemex ha sido documentado por organismos como la Auditoría Superior de la Federación (ASF), la cual advirtió que la petrolera no cuenta con mecanismos suficientes para proteger sus sistemas informáticos.
La implementación de instrumentos de protección a las agresiones informáticas debería ser un tema prioritario para la petrolera, ya que es uno de los objetivos favoritos de la ciberdelincuencia.
Según respuestas a solicitudes de información realizadas vía Ley de Transparencia, la Empresa Productiva identificó más de 176.3 millones de intentos de agresiones a sus sistemas de enero de 2015 a agosto de 2020.
Esto quiere decir que, con base en sus cifras, Pemex sufrió 85 mil 176 intentos de ataque cada día, lo que implica un registro por segundo, en promedio, durante el periodo mencionado.
La Subdirección de Tecnologías de la Información de Pemex informó el número de “intento” de ciberataques vía Transparencia.
Mentira y silencio
Las áreas de Petróleos Mexicanos encargadas de explicar lo que ocurrió en el robo masivo de información en noviembre del año pasado en sus computadoras mintieron e hicieron lo posible por ocultarlo, aunque no contaron con la difusión de los miles de archivos que efectuó la banda atacante.
ONEA México elaboró solicitudes de información vía Ley de Transparencia y las contestaciones comprueban el silencio de la petrolera y sus contradicciones.
En sus respuestas, la Subdirección de Tecnologías de la Información (STI), a cargo de Brenda Fierro Cervantes, negó en todo momento que las plataformas informáticas de Pemex fueron vulneradas.
Mediante el folio 1857200240820 de la Plataforma Nacional de Transparencia (PNT), se requirió el número de agresiones informáticas, día y hora de registro, documentos y operaciones afectadas, así como datos de denuncias presentadas ante la autoridad para investigar los hechos.
En respuesta, la STI solo enlistó las cifras por año de los intentos de ciberataques que registró y detalló que ninguno fue efectivo, a pesar de los antecedentes y declaraciones de la propia Norma Rocío Nahle, titular de la Sener, quien confirmó la intrusión de DoppelPaymer.
“Toda vez que no hubo vulneración de documentos u operaciones por los supuestos atacantes cibernéticos, se hace uso del Criterio 07/17, casos en los que no es necesario que el Comité de Transparencia confirme formalmente la inexistencia de la información”, se lee en la respuesta de la STI.
Sin embargo, en el mismo folio, la Dirección Jurídica contradijo a la STI al exponer que en 2019 se presentó una denuncia ante la Fiscalía General de la República (FGR) por incidentes descritos en la petición. La carpeta de investigación abierta, aclaró el área, es FED/SEIDO/UEIARV-CDMX/00001338/2019.
Esto quiere decir que mientras la STI aseguró que la información sobre ciberataques a la plataforma de Pemex es inexistente, el área jurídica reconoció los hechos y mostró indicios del seguimiento legal.
Tras la argumentación de la ausencia de información por parte de la Subdirección de Tecnologías de la Información, ONEA México elaboró una nueva solicitud (folio 1857200300020) en la que requirió los reportes técnicos de las agresiones sufridas por Pemex entre 2019 y 2020, periodo que incluye la fecha en que DoppelPaymer inyectó el ransomware y extrajo su información.
En la segunda respuesta, la STI insistió que no hubo afectaciones. “El 10 de noviembre de 2019 la empresa recibió intentos de ataques cibernéticos que fueron neutralizados oportunamente”, informó el área encabezada por Fierro Cervantes y agregó que, con relación a los informes generados, no podía entregarlos ya que el Comité de Transparencia de Pemex decidió clasificar como reservada toda información sobre el cibersecuestro por cinco años.
La Subdirección de Tecnologías de la Información negó vulneraciones a la plataforma de Pemex.
En la contestación, Pemex agregó el acuerdo con clave CT 19.4.0.20 de la sesión en el que se determinó el ocultamiento con fecha del 30 de enero de 2020. El Comité estuvo integrado por Laura Alicia Stefany Garduño Martínez, presidenta suplente; José Luis García Zárate, vocal suplente; y Guillermo Alejandro Perabeles Garza, vocal suplente.
En el acuerdo se informa que la propia Subdirección de Tecnologías de la Información fue la que solicitó al Comité confirmar la reserva de las pruebas de daño luego de que un particular pidió información sobre el incidente del 10 de noviembre de 2019.
El ocultamiento de la afectación que sufrió Pemex fue concedido por los funcionarios que conforman el organismo de transparencia interno de la petrolera.
En su exposición de motivos, la STI consideró que, de entregar la información solicitada por el particular, se vulneraría la seguridad nacional y existía riesgo de que “personas expertas en informática y/o hackers no éticos vulneren la infraestructura tecnológica” de Petróleos Mexicanos.
Advertencia ignorada
La petrolera no cuenta con mecanismos eficaces de protección en las áreas relacionadas con la administración y operación de los controles de ciberseguridad. En junio de 2019, cuatro meses antes de que ocurriera el robo masivo de datos, la Auditoría Superior de la Federación (ASF) reveló sus carencias de seguridad informática.
En su análisis de la Cuenta Pública de 2018, la ASF mostró que Pemex no contaba con mecanismos de control que alertaran de una posible fuga por parte del prestador de servicios, también se identificó que algunos equipos de usuario final no se encontraban protegidos, lo que los hacía más vulnerables a los ataques cibernéticos.
Otro aspecto relevante es que tampoco se tenía definido el tratamiento del análisis de vulnerabilidades antes de la puesta en operación de nuevos desarrollos de sistemas, procedimientos, autorizaciones y monitoreo que son requeridos.
Respecto al mantenimiento, la ASF detectó que la empresa que dirige Octavio Romero Oropeza no realiza una revisión periódica de sus bases de datos y sistemas operativos, con el objetivo de identificar transacciones no autorizadas o vulneraciones relaciones con la seguridad de los sistemas.
También se identificó que Pemex no cuenta con herramientas de escaneo de puertos para verificar si existieron cambios en los servicios de infraestructura tecnológica que adviertan al personal de seguridad informática para tomar las acciones pertinentes.
En materia de concientización sobre la ciberseguridad, la petrolera tiene programas de comunicación y capacitación para sus trabajadores, sin embargo, no se evalúan los resultados para identificar si los conocimientos en temas de seguridad informática son suficientes o necesitan reforzarse.
La Auditoría dejó al descubierto que durante 2018 no se realizaron pruebas de penetración interna y externa para identificar posibles vulnerabilidades o amenazas de ataque.
“Las deficiencias en las configuraciones de seguridad en los dispositivos de comunicaciones, la falta de análisis de vulnerabilidades previo a la puesta en marcha de los sistemas, la carencia de alertas para prevenir la fuga de información por parte de los prestadores de servicios y la falta de un Análisis de Impacto al Negocio desde la perspectiva de la Alta Dirección de Pemex, representan un probable riesgo para la operación de los procesos y servicios, aunado a que comprometen la integridad, confiabilidad y disponibilidad de los activos de la empresa”, expuso la ASF.
La ASF identificó los riesgos en la ciberseguridad de Pemex en su informe de la Cuenta Pública 2018.