La ASF dictamina que la empresa productiva del Estado “contribuyó para que los equipos de cómputo hayan sido secuestrados”, por no remediar la vulnerabilidad de los servidores Microsoft SharePoint que estaban expuestos a la web.
Por Daniel Sánchez
CIUDAD DEL CARMEN, Cam. 1 de noviembre del 2020.- Aunque Pemex aseguró que el ciberataque “afectó exclusivamente algunas aplicaciones de la plataforma Microsoft Windows” y que “la continuidad operativa no se vio afectada”, la Auditoría Superior de la Federación (ASF) determinó que ocasionó la pérdida de activos de información en los servidores y equipos, así como la interrupción de los procesos de negocio.
“La vulnerabilidad de los servidores Microsoft SharePoint que estaban expuestos a la web, la cual fue explotada por el hacker en el incidente de seguridad informática del 10 de noviembre de 2019, había sido corregida por el fabricante seis meses antes del ataque, sin embargo, debido a la falta de gestión de actualizaciones de seguridad (parches), entre otros controles, la vulnerabilidad no fue remediada por Pemex”, expresó.
Esto, puntualizó, “contribuyó para que los equipos de cómputo hayan sido secuestrados, ocasionando la pérdida de activos de información en los servidores y equipos de usuario final, así como la interrupción de los procesos de negocio de la empresa”.
En la auditoría de cumplimiento a Tecnologías de Información y Comunicaciones (TIC) a Pemex Corporativo, el organismo fiscalizador federal expuso el 12 de octubre de 2020, que “se carece de un adecuado control, manejo, evaluación, supervisión y validación del inventario de equipos de cómputo, debido a las diferencias en el control de inventarios determinadas durante la auditoría y por la falta de evidencias del soporte documental que deje constancia de las revisiones o cambios para acreditar el detalle de los equipos pagados mensualmente”.
“Se detectaron servidores y equipos de cómputo con sistemas operativos obsoletos, que ya no cuentan con soporte por parte del fabricante, lo cual aumenta el riesgo para la seguridad de la información, debido a la falta de actualizaciones de seguridad para remediar vulnerabilidades que están expuestas a ataques cibernéticos”, indicó.
“En relación con los controles de ciberseguridad, respecto al ejercicio 2018, no se registran avances en el Inventario de software autorizado y no autorizado, en las configuraciones seguras para hardware y software en los dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores, en la aplicación de software de seguridad, así como en las pruebas de penetración y ejercicios de equipo rojo”, agregó.
Lo anterior, advirtió, “aumenta el riesgo de un incidente de seguridad informática que podría ocasionar un impacto negativo en los activos de información y procesos de negocio de la empresa”, como ocurrió en noviembre del 2019.
La ASF también concluyó que “antes del ciberataque, las aplicaciones y los datos de los servidores no estaban protegidos con agentes para la protección avanzada contra amenazas, ni con soluciones para la prevención de pérdida de datos; asimismo, se carece de evidencia de la revisión periódica del antivirus para asegurar que los servidores estaban protegidos contra software malicioso. Cabe mencionar que posteriormente al incidente de seguridad informática se instaló la protección en los servidores”.
“Se carece de evidencia de la realización de pruebas de penetración a la infraestructura tecnológica, sistemas empresariales y aplicativos departamentales de la empresa, y se detectaron servidores con sistema operativo que ya no tienen soporte con el fabricante, no obstante, no se tiene evidencia de acciones para migrarlos a una plataforma con soporte vigente”, agregó.
“Esta situación aumenta los riesgos para la seguridad de la información, debido a que los servidores ya no cuentan con actualizaciones de seguridad y se encuentran vulnerables a los ciberataques”, insistió.
“Se conoce que el hacker aprovechó una vulnerabilidad de los servidores Microsoft SharePoint que estaban expuestos a la web, lo que permitió la ejecución remota de código para cifrar la información de los equipos que fueron secuestrados. La vulnerabilidad fue clasificada como crítica por el fabricante, por lo que publicó actualizaciones de seguridad el 12 de marzo y 25 de abril de 2019, sin embargo, las actualizaciones no fueron instaladas en los servidores de Pemex antes del ataque, aun cuando habían pasado más de seis meses de su publicación”, abundó.
Manifestó que en relación con la recuperación de las aplicaciones hospedadas en los servidores que se vieron afectados por el ciberataque, del universo de 462 aplicaciones, 364 (78.8 por ciento) operan con normalidad, 80 (17.3 por ciento) no están operativas y 18 (3.9 por ciento) se encuentran en proceso de reincorporación. Cabe señalar que han pasado más de 10 meses desde el incidente de seguridad y existen aplicaciones que no se encuentran operables.
Consulta aquí el informe completo de la ASF:
Más información en:
https://www.pagina66.mx/ciberataque-a-pemex-no-afecto-sus-sistemas-operativos/
