El ciberataque a los sistemas informáticos de Petróleos Mexicanos de noviembre del 2019 supuso la extracción de una lista con los registros de 186,143 equipos de la petrolera. Estos equipos, entre servidores físicos, virtuales y equipos personales, están ubicados en las refinerías de Salina Cruz, Minatitlán, Salamanca y Tula, en las terminales de Almacenamiento y Reparto (TAR) de Mexicali y Puebla, y hasta en unidades médicas de la empresa estatal en Coatzacoalcos y Naranjos, en Veracruz, y en Ciudad del Carmen, Campeche, entre otras ubicaciones.  

Esta información fue dada a conocer por los operadores del ransomware Doppel Paymer, que fue usado para secuestrar la información de Pemex, a través de un sitio web llamado Dopple Leaks creado para este propósito y al que El Economista ha tenido acceso. El sitio enlista 186,143 equipos, todos con sistemas operativos Windows en diferentes versiones: Windows 8.1, Windows Server 2016 Standard, Windows Server 2012 R2 Datacenter, Windows Enterprise, Windows 10 Pro, Windows 7 Enterprise y Windows XP.  

Hiram Alejandro Camarillo, investigador de la firma de seguridad de la información Seekurity, advirtió que esto no significa que los atacantes hayan infectado los 186,143 equipos enlistados, sino que tuvieron la capacidad de extraer la información de los 186,143 a través de uno o varios servidores centrales de la petrolera. De acuerdo con Pemex, el número de equipos secuestrados mediante el ransomware Doppel Paymer representa menos 5% del total de sus “equipos personales de cómputo”.

Camarillo analizó los archivos publicados en el sitio creado por los operadores del ransomware, con el fin de validar que la información efectivamente perteneciera a la paraestatal. “Los archivos extraídos desde algunos de estos equipos contienen información de la infraestructura de Pemex, cómo están conectados los sistemas internos; así como diagramas de red; además de que el autor de los archivos es Pemex”, aseguró el investigador en entrevista.

En noviembre pasado, Petróleos Mexicanos admitió haber sido víctima de un ciberataque. A través de un comunicado, la compañía aseguró que “operaba con normalidad” y que el funcionamiento de los sistemas de operación y producción de la empresa no estaban comprometidos, además de que “se encuentran blindados”. La secretaria de Energía, Rocío Nahle, confirmó en aquel momento que los cibercriminales han exigido el pago de un rescate, pero dijo que Pemex "no pagará" porque "es una empresa seria".

Usuarios y contraseñas de acceso remoto 

“A continuación puede encontrar datos privados de las empresas que fueron pirateadas por Doppel Paymer. Estas empresas decidieron mantener en secreto la fuga. Y ahora su tiempo de pago ha terminado”, es el mensaje que muestra la página principal desplegada por los ciberatacantes, que hasta el momento de esta publicación habían filtrado la información de más víctimas además de Pemex, como el banco local del estado de Minnesota, Estados Unidos, Community Development Bank; la empresa textil estadounidense Valley Forge Fabrics Inc, y la empresa francesa de telecomunicaciones Bretagne Telecom. 

En lo que se refiere a la información de Pemex, el sitio muestra el nombre de la compañía, su URL, así como un conjunto de carpetas en formato zip que alojan los archivos que presuntamente fueron extraídos de la petrolera estatal mexicana, en su mayoría con formatos pdf, txt y excel, con un tamaño de alrededor de 5.8 gigabytes. Los creadores del sitio web advierten además que se revelará más información y enlistan la información de los 186, con su nombre distinguido (dn), el nombre distinguido relativo (cn), el sistema operativo que usan y el nombre del host o el nombre del equipo dentro de la red.  

“Hay archivos en excel, pdf, word, txt, que contienen configuraciones y comandos de los administradores, además de archivos de imagen con los diagramas de red de la infraestructura interna de la refinería de Hidalgo”, dijo Camarillo. 

La exhibición de los equipos y documentos es una muestra de que, contrario a lo asentado en el comunicado de Pemex acerca del ciberataque, no sólo fueron afectados equipos personales de los trabajadores de la compañía, pues también se vieron comprometidos servidores físicos y virtuales, además de información sensible sobre equipos industriales, como su dirección IP, usuario y contraseña de acceso remoto, lo que puede llegar a considerarse información de seguridad nacional.  

De acuerdo con Camarillo, a partir de la difusión de los documentos es posibles inferir que el proceso de infección no fue inmediato, sino que duró varios días, lo que le permitió a los atacantes recabar la información de los equipos de Pemex y extraerla. Dado que las carpetas publicadas en el sitio Doppel Leaks tienen, la mayoría, un tamaño de 256 megabytes, para el investigador, es posible deducir que los atacantes separaron la información de los servidores centrales para extraerla en fragmentos, con el fin de no despertar las alertas de los sensores de red de Pemex.

De acuerdo con el sitio Bleeping Computer, la divulgación de la información exfiltrada de los sistemas de Pemex supone un cambio en el comportamiento de los operadores del ransomware Doppel Paymer, quienes anteriormente vendían la información robada a sus víctimas, mientras que su técnica actual es hacer accesible al público la información extraída a sus víctimas, pese a que esto pueda suponer riesgos de privacidad e incluso, de seguridad nacional, al tratarse de información vinculada a infraestructuras críticas, es decir aquellas cuya interrupción de sus operaciones o una afectación física ponen en peligro la vida humana; causan pérdidas económicas cuantiosas o dañan al medio ambiente. Las empresas del sector industrial, las de generación de energía eléctrica o de combustibles, como Pemex, están entre las instalaciones que son consideradas sistemas críticos. 

rodrigo.riquelme@eleconomista.mx