De los mil 182 servidores de Windows que fueron afectados durante el ataque, 203 tenían instalado el sistema operativo Windows 2003, versión sin soporte desde 2015.
Cuando Petróleos Mexicanos (Pemex) sufrió un ciberataque durante el cual un ransomware “secuestró” 11 mil computadoras –una quinta parte de los aparatos de la empresa--, la petrolera llevaba seis meses sin instalar las actualizaciones de seguridad de Windows que protegían sus servidores de este ataque, señaló la Auditoría Superior de la Federación (ASF).
El organismo fiscalizador determinó que el pirata de Pemex penetró en los sistemas informáticos gracias a una vulnerabilidad en un servidor Microsoft Sharepoint que Microsoft había detectado tiempo atrás; incluso, el 12 de marzo y el 25 de abril de 2019 el gigante estadunidense liberó actualizaciones de seguridad para corregir esta falla.
Y no sólo esto: de los mil 182 servidores de Windows que fueron afectados durante el ataque, 203 tenían instalado el sistema operativo Windows 2003, una versión a la que la empresa estadunidense dejó de dar soporte en 2015, es decir, cuatro años antes del incidente, lo que representó un riesgo evidente ante cualquier amenaza.
La ASF advirtió que otros 703 servidores de Pemex usan Windows 2008, que dejó de recibir soporte en enero pasado, por lo que también quedaron vulnerables.
La ASF también determinó que la petrolera carecía de herramientas para proteger las aplicaciones y los datos de los servidores; quizás no tenía un inventario de sus propios sistemas, y tampoco existe evidencia de que los sistemas de administración de estos servidores estaban actualizados.
Contrario a lo que se mencionó en ese entonces, Pemex no había dejado de pagar sus sistemas de información e infraestructuras tecnológicas, pues en 2019 gastó 2 mil 251 millones de pesos en ello, un monto similar al de 2018 y un poco superior a lo pagado en los tres años anteriores.
Más bien, el problema es sistémico, pues según la ASF “no se proporcionó evidencia que acredite que se llevan a cabo pruebas de penetración para la identificación de vulnerabilidades, sin embargo, la entidad señaló que se realizan pruebas técnicas manuales; no obstante, no se remitió el soporte documental en el que se precise en qué consisten dichas pruebas”.
De hecho, el organismo fiscalizador encontró que los especialistas no informaban a sus jefes sobre los incidentes de seguridad, y que “no fue sino hasta después del incidente cuando comenzaron las campañas de comunicación relacionadas con temas de ciberseguridad”.
Añadió: “En relación con los controles de ciberseguridad, respecto al ejercicio 2018, no se registran avances en el inventario de software autorizado y no autorizado; en las configuraciones seguras para hardware y software en los dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores; en la aplicación de software de seguridad, así como en las pruebas de penetración y ejercicios de equipo rojo; lo anterior aumenta el riesgo de un incidente de seguridad informática que podría ocasionar un impacto negativo en los activos de información y procesos de negocio de la empresa”.
Créditos: Proceso