Alrededor de la noticia sobre el ciberataque de ransomware en contra de Petróleos Mexicanos (Pemex) se suscitó un fenómeno de desinformación que las compañías deben evitar para no contribuir a la especulación sobre este tipo de incidentes y sus efectos.

Para Roberto Martínez, miembro del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky, compañías como Pemex deben de contar con un plan de comunicación dentro de su plan de respuesta a incidentes, el cual es el protocolo a seguir cuando cualquier empresa u organización recibe un ataque.

“Uno de los factores más importantes cuando hay un compromiso de ciberseguridad es el manejo de la información. Es fundamental que las compañías incluyan dentro de su plan de respuesta a incidentes un plan de comunicación”, dijo Martínez en entrevista. 

El plan de comunicación de las compañías debe abarcar el nombramiento de un vocero oficial, garantizar que la entidad cuente con información precisa sobre el incidente y compartirla cuando sea necesario. De acuerdo con el investigador en ciberseguridad, este plan de comunicación sirve para evitar caer en situaciones de desinformación o aquellas que pueden abonar a la especulación sobre el incidente.

Martínez puntualizó que dependiendo de la naturaleza de cada organización, es necesario clasificar la información entre aquella que se puede hacer pública y la que debe de mantenerse reservada.

Pemex tardó alrededor de 24 horas para confirmar que había sufrido un ciberataque. A través de un comunicado distribuido la noche del lunes 11 de noviembre, la compañía minimizó los efectos del incidente, aduciendo que solo había sido comprometido 5% de las computadoras personales de la empresa.

Tres secretarios de Estado y el Presidente de la República se pronunciaron acerca del ciberataque. Durante su conferencia matutina del miércoles 13 de noviembre, el presidente Andrés Manuel López Obrador dijo que el ciberataque en contra de Pemex no había sido tan grave, porque la compañía continuaba trabajando.

Horas después, la secretaria de Energía, Rocío Nahle, afirmó que Pemex había sufrido un ataque en algunas computadoras del área administrativa de la empresa y aseguró que la compañía no pagaría el rescate de 4.9 millones de dólares exigidos por los atacantes. Un día después, el 14 de noviembre, el secretario de Seguridad y Protección Ciudadana, Alfonso Durazo Montaño, aseguró que el ciberataque había sido desactivado y que la Fiscalía General de la República había iniciado las investigaciones para determinar el origen del mismo. 

También el martes 14 de noviembre, el secretario de Hacienda, Arturo Herrera, afirmó que el hackeo a la compañía no había comprometido información confidencial de la misma.

Para Hiram Alejandro Camarillo, socio de la firma de ciberseguridad Seekurity, la comunicación de Pemex acerca del incidente fue más que deficiente. El especialista dijo que la compañía se mantuvo en silencio durante demasiado tiempo, lo que originó la aparición de boletines e información falsa sobre todo en las redes sociales, que la misma empresa luego desmintió.

“La desinformación puede llegar a generar paranoia entre la población, más que nada porque es una de las entidades más importantes de México. También se puede afectar a las empresas con las que trabaja y puede verse afectada al no comunicar la situación a los inversionistas y clientes”, dijo Camarillo en entrevista.

Con información de Karol Garcia, Elizabeth Albarran y Notimex.

[email protected]

kg