Investigan si el hackeo de PEMEX fue interno y para borrar datos

El reciente ataque informático a Petróleos Mexicanos, hace dos semanas, que causó serios inconvenientes a la compañía, habría sido interno, con el objeto de encriptar o borrar archivos comprometedores.

Aparentemente, se buscaba “impedir que el Ministerio Público tuviera acceso a ciertos archivos y expedientes comprometedores por manejos irregulares o ilegales en la petrolera durante el sexenio anterior”, afirmó el analista político Salvador García Soto.

Especialistas estiman que el virus responsable de poner en jaque a la mayor empresa pública mexicana durante casi 10 días es el denominado “Dopplepaymer”, usado anteriormente para ofensivas maliciosas a sistemas cibernéticos en América Latina.

Dos empresas especializadas en tecnología informática y telecomunicaciones que estudiaron en detalle el ataque a Pemex del 10 de noviembre, estiman que la hipótesis de que la embestida la realizaron piratas cibernéticos desde puntos remotos no es plausible.

Lo más probable es que el virus secuestrador haya sido introducido a la red informática de la petrolera por una persona que tenía credenciales de acceso a sus instalaciones (posiblemente un empleado de mantenimiento del equipo) a través de un dispositivo de memoria “flash” o USB. Este “malware” sería capaz de impedir el acceso a archivos específicos o incluso hacerlos desaparecer.

El propósito, de hecho, sería borrar archivos comprometedores que podrían servir de evidencia en causas judiciales de alto perfil. Actualmente se llevan a cabo procesos contra el exlíder del poderoso sindicato petrolero Carlos Romero Deschamps, que renunció en octubre pasado y es acusado por la Fiscalía General de lavado dinero, evasión y defraudación fiscal.

Además, hay órdenes de captura internacional contra el exdirector de PEMEX, Emilio Lozoya, acusado de recibir unos 11 millones de dólares de la constructora brasileña Odebrecht, parte de los cuales habrían servido para financiar la campaña del presidente Enrique Peña Nieto (2012-2018).

Originalmente se difundieron versiones de que los piratas exigían un “rescate” de unos 5 millones de dólares en criptomonedas para liberar los sistemas afectados (el 5% del total, según la versión oficial, el doble según otros reportes).

El ESET Security Report informó que los países latinoamericanos que concluyeron 2018 con más detecciones de “ransomware”, el tipo de agente nocivo que afectó al sistema cibernético de Pemex, fueron Colombia (30%), Perú (16%) y México (14%).

En el caso de México, el año pasado se individualizaron más de 200 variantes de este virus malicioso, detectadas por las compañías Crysis, TeslaCrypt y CryptoWall. México se coloca cada vez más como uno de los blancos favoritos y más vulnerables de los “hackers” internacionales.

Entre 2017 y 2018, el país cayó 35 lugares en el Indice Global de Ciberseguridad de la Unión Internacional de Telecomunicaciones al pasar del lugar 28 al 63, desplazado por Uruguay de entre los tres primeros lugares del continente americano.

La compañía mexicana de telecomunicaciones Axtel, contratada para la operación y seguridad cibernética de un centro de datos en Pemex, alertó a la empresa desde hace tiempo de la necesidad de bloquear los puertos USB, por ser la forma usual de descargar archivos infectados con fines de ciberataque o cibersecuestro. El Centro Nacional de Inteligencia (CNI) y la Policía Cibernética de la Fiscalía General investigan el caso pero hasta ahora no han informado sobre sus hallazgos.

Se estima que el ataque fue favorecido por el recorte del presupuesto destinado a adoptar medidas de seguridad para resguardar a los sistemas cibernéticos del gigante gubernamental. Los antecedentes de un ataque cibernético como el sufrido por Pemex existen desde hace más de una década.

En 2008, el Departamento de Defensa de Estados Unidos sufrió uno de los mayores ataques cibernéticos de la historia por una descarga con un dispositivo USB conectado dentro de sus oficinas por una persona con acceso autorizado.

ANSA