Ciudad de México, 15 noviembre (SinEmbargo).– 21 días, 20 días, 19 días… A inicios de diciembre la liga que los cibercriminales dan a Petróleos Mexicanos (Pemex) para pagar los 4.9 millones de dólares en bitcoins se va a eliminar, la principal petrolera del país que detectó el ransomware desde el domingo ya no podrá negociar y la información se quedará encriptada. No se sabe si cuentan con respaldos.
El malware con el que se atacó a la petrolera mexicana es un software destinado a acceder a un dispositivo de forma inadvertida, sin el conocimiento del usuario. Los tipos de malware incluyen spyware (software espía), adware (software publicitario), phishing, virus, troyanos, gusanos, rootkits, secuestradores del navegador y ransomware, que es el que hoy le quiebra la cabeza a los especialistas en Pemex.
“Abres una página de una máquina infectada y en la parte de arriba dice ‘días restantes’ para shutdown. Hoy (jueves) restaban 19, anteriormente decían 21 días. Mañana (viernes) probablemente diga 18 días. El malware hace el conteo”, dijo un trabajador de la refinería de Tula, Hidalgo, sección 35. “Estoy preocupado porque el conteo va hacia atrás. Dice que se va a borrar por completo todo, pero no sabemos qué es todo. Increíble que sea la petrolera más grande del país y sea atacada”.
Aunque cuentan con protocolos de seguridad por si se registra alguna explosión o siniestro dentro de la petrolera, no existen protocolos de ciberseguridad. Solo tienen letreros en las puertas pidiendo que no usen las computadoras, lo cual “refleja una falta de planeación y visión porque la información es poder y la falta de conocimiento es carísima”, observó el especialista en ciberseguridad, Héctor Solís, de la consultora TeCT.
“No hay ningún movimiento administrativo. Hoy (jueves) fui al área y se están viendo la cara uno con otro porque está todo parado”, afirmó el trabajador en la sección 35 sobre la refinería en Hidalgo, una de las seis en México.
En el área productiva, “impacta en los balances enviados por vía administrativa cada 24 horas a la Ciudad de México, donde se concentran los de las seis refinerías sobre producción e insumos para producir. Estamos operando a ciegas”.
Las instrucciones de los ciberdelincuentes es que descarguen el navegador Thor, en la deepweb, y coloquen una “dirección larguísima” para que se reciban instrucciones sobre el pago, y en 48 horas prometen haber desencriptado las computadoras. El petrolero de Tula compartió que su máquina le muestra la leyenda de que necesita urgentemente una actualización de seguridad.
“A lo mejor no han pagado las licencias de Microsoft”, dijo. Tienen computadoras HP con el sistema operativo de Windows.
La revista Contralínea publicó esta semana que “desde la Dirección General de la principal empresa del Estado se ordenó cancelar algunos contratos con la trasnacional Microsoft, que estaba encargada de proporcionar los sistemas de seguridad cibernética”.
Los trabajadores han manifestado a la cuenta de Twitter de Pemex que siguen enfrentando complicaciones para acceder a los sitios Ebdi.Pemex (base de datos) y PTQ.Pemex (atención al cliente). Luego del ciberataque, laboran a mano.
“Los ingenieros de Pemex con quienes tengo contacto no pudieron trabajar durante estos días. No tienen acceso a sus equipos de cómputo bajo ninguna circunstancia. Esto generalizó a casi todos los departamentos operativos”, dijo en entrevista un trabajador de una compañía de servicios petroleros en Ciudad del Carmen, Campeche, uno de los principales estados petroleros.
“No tienen red local, comunicación entre ellos ni salida a Internet. Solo pueden entrar algunos a sus equipos de cómputo para ‘trabajar’ con su información de su discos local”, comentó.
Sobre los pagos de catorcenas, los trabajadores manifiestan que recibieron la de este miércoles. Pero se acerca el aguinaldo programado para la primera semana de diciembre, justo cuando el plazo del malware vence. “PEMEX ACTUÓ MAL”
El miércoles, ante el silencio del director de Pemex, Octavio Romero Oropeza, y un comunicado que aseguraba que Pemex opera con “normalidad”, la Secretaria Rocío Nahle García rechazó que pagarían los bitcoins e informó que “ya está la gente de informática en ello” porque Pemex “es una empresa seria”.
Para el Presidente Andrés Manuel López Obrador, “no hay problemas mayores. Lo importante es que ya estamos en un millón 720 barriles diarios”.
Sin embargo, el trabajador de la Refinería de Tula consideró que Nahle no sabe exactamente lo que ocurre porque a ellos no les han dado fecha para retomar actividades.
“Estamos en modo isla. Muy nerviosos”, afirmó. “Que tomen más en serio esto y ya salga Romero Oropeza a tomar su lugar, la administración de una Empresa de este tamaño”, acusó el petrolero.
Héctor Solís, especialista en ciberseguridad de la empresa TeCT, explicó que este malware denominado ransomware es relativamente fácil de quitar, si se atiende rápido, y es muy visible.
“Una empresa que es contaminada por ransomware lo primero que debe hacer es formatear la computadora porque ya está comprometida, se vuelve a poner el sistema operativo y un respaldo. Con suerte, es la única y no afecta más partes de la red”, explicó. Pero en el caso de Pemex, que el ataque se detectó hasta el domingo, el código malicioso se expandió de Tabasco al resto.
“Pemex lo atacó mal. Debió ser de inicio cuando les cayó el ransomware”, afirmó Solís. “No se sabe si solo pusieron un ransomware o sacaron información. Porque los datos de personal, proveedores, facturas, estados de cuenta, eso ya se lo pudieron haber llevado”.
Ante la importancia de los datos de Pemex y la existencia de diversos ciberataques, Solís enfatizó la necesidad de contar con procesos de recursos humanos donde se dé introducción para el uso de computadoras para no introducir USB, no navegar en sitios no adecuados, siempre bloquear la computadora antes de dejar el lugar de trabajo, no dejar usuarios y contraseñas en el escritorio.
El ESET Security Report informó que los países de la región latinoamericana que cerraron 2018 con más detecciones de ransomware, el malware que afectó al Pemex, fueron Colombia (30 por ciento), Perú (16 por ciento) y México (14 por ciento).
“En el caso de México, el escenario del ransomware se encontró más diversificado. A lo largo del año pasado, más de 200 variantes de ransomware se propagaron en territorio mexicano. Las dos familias que concentraron mayores detecciones fueron Crysis y TeslaCrypt, cada una concentrando el 14 por ciento de las detecciones de FileCoder del país. Seguidamente, encontramos a CryptoWall (13 por ciento) en tercer lugar”, expone el análisis de 2018.
Después del comunicado de Pemex donde aseguró el lunes en la noche que operaba con “normalidad” y “los sistemas de operación y producción de la empresa no están comprometidos”, un trabajador de Coatzacoalcos, Veracruz, otro estado petrolero clave, reportó que en su departamento con más de 40 personas “todas las máquinas están desconectadas de la red y hay algunas afectadas”. “LAS RECETAS NO PASAN”
En las unidades médicas de Pemex, 21 hospitales, 12 clínicas y 26 consultorios en el país para sus 700 mil derechohabientes, tienen restricciones en la emisión de recetas médicas.
Una derechohabiente quiso confirmar una cita de control en el Hospital Central Sur, en la Ciudad de México. Le respondieron que había atención, pero con fallas en la expedición de recetas médicas “porque no pasan por el sistema”.
“No hay acceso a los expedientes (por falta de sistema) y las recetas y la anotación de la consulta se hace en Word”, contó en entrevista.
Los estudios de especialidades tampoco están disponibles. Uno de sus compañeros jubilado fue a realizarse un estudio esta semana. Esperó dos días, pero no se lo pudieron hacer “por falta de sistema”.
En el área de urgencias del Hospital Central Sur atienden, pero también han reprogramado a muchos. Ayer, SinEmbargo reportó que las fallas en emisión de recetas y reprogramación de citas también se reporta en Tabasco.
