El grupo de analistas MalwareHunter Team dio a conocer el monto que los ciberatacantes solicitaron a Pemex para liberarlos del ransomware que sufre desde el 10 de noviembre.
Pemex sufrió un ataque informático el 10 de noviembre, y ahora los hackers le piden un rescate a cambio de liberar su información.
El equipo de informática forense MalwareHunter Team rastreó los pantallazos que compartieron los empleados de la firma en redes sociales, y reveló que estos lograron abrir una ventana de negociación y pago, en donde los ciberatacantes solicitaron 565 bitcoins, o 4.9 millones de dólares, para liberar las computadoras afectadas de la petrolera
La ventana de negociación es parte de las instrucciones que envían los hackers a una empresa atacada con el ransomware 'Doppel Paymer' para que ésta pueda pagar su rescate, como una línea de depósito o transferencia. Un ransomware consiste en que un grupo de ciberatacantes ingresa a la red de una empresa o persona y toma control de sus equipos informáticos. Después, no los deja ingresar a estos a menos que paguen un rescate, como en un secuestro.
Los hackers dieron 48 horas a Pemex para hacer el pago. Sin embargo, MalwareHunter Team advierte que esta ventana de negociación está vacía, lo que indica que no se hizo el pago. Varios analistas consultados por Expansión afirman que, si esto no se negoció, lo único que la empresa pudo haber hecho para reactivar los equipos sería desconectar y reinstalar de cero, aunque esto no garantiza que no se produzca otro ataque posterior.
Pemex declinó hacer comentarios.
“Sabemos que, incluso pagando el rescate, cabe la posibilidad de que no se elimine el malware y que semanas después puede volver a ocurrir un ataque. El sistema ya queda abierto y hay riesgos incluso en puntos de restauración”, dijo Andrés Velázquez, experto en informática forense y director general de Mattica. “Una vez que se infecta un sistema no hay mucho más que se pueda hacer, pero en lo que sí hay mucho que trabajar es en lo preventivo. Desgraciadamente, lo que hemos visto de este gobierno es que los temas de estrategias de ciberseguridad no son algo prioritario”, dice.
Los empleados de Pemex denuncian "secuestro informático"
Varios trabajadores de Pemex revelan, bajo condición de anonimato, que el ataque cibernético es más grande de lo que ha informado la empresa.
Según estos empleados del corporativo, la mayoría de las computadoras de la empresa están afectadas, y no sólo el 5%, como detalló la petrolera. Por ejemplo —siempre según estos empleados—, hay áreas donde se encuentran afectadas cinco de siete computadoras, y la situación se replica a nivel nacional, incluyendo las computadoras de la Torre Pemex, además de los equipos instalados en oficinas remotas de zonas petroleras como Poza Rica y Villahermosa.
“El domingo nos empezaron a llegar whats de los grupos de trabajo, de que se desconectaran los equipos porque había un virus que estaba entrando a las máquinas que estaban encendidas y conectadas a la red”, detalla uno de los trabajadores. Los encargados de informática, agrega, informaron que se trata de un malware que se mete a las máquinas y encripta los datos, impidiendo el acceso a ellos.
En la Refinería Antonio M. Amor, en Salamanca, desde el domingo la operación administrativa está parada por la falta de sistema de cómputo, aseguran varios empleados.Los trabajadores señalan que los técnicos cibernéticos hablan de una ataque a todo el sistema de todo Pemex, y que están comprometidos muchos archivos importantes. Además, están comprometidas cuestiones de nómina y mercadeo tanto nacional como internacional, más las bases de datos de proveedores, personal o adeudos, etc etc. La petrolera ha levantado un censo de qué máquinas se infectaron. "Aquí en Salamanca ni siquiera se están usando los teléfonos, porque también estaban en red. Están transmitiendo datos por radio y trabajando con respaldos de papel", detalla un empleado.
“Parece que fue un malware que llegó porque alguien no tuvo el cuidado necesario y lo ejecutó, pero esto es sin duda una llamada de atención para que se revise la inversión en ciberseguridad y en capacitación y para que se forme un equipo de respuesta robusta”, comenta Rodrigo Orenday, abogado y especialista en seguridad del despacho Santamarina y Steta.
Otros focos rojos
Desde 2017, reportes de ciberseguridad de la Organización de Estados Americanos (OEA) pusieron a México en el top 5 de países dentro de la organización con menos preparación para enfrentar un ataque cibernético a su infraestructura crítica.
“Sin duda esta es una llamada de atención, y no solo para Pemex, sino para otras empresas públicas y privadas y quienes manejan infraestructura crítica. Tenemos información de que se han afectado otros sectores, sobre todo sectores privados", afirma Andrés Velázquez, de Mattica. /Expansión