El ataque cibernético a Petróleos Mexicanos (Pemex) pudo afectar a 60 direcciones, subdirecciones, gerencias, la unidad de control interno institucional y la auditoría interna, que son los niveles máximos de la petrolera y que resguardan la información relevante de la firma.
De acuerdo con un exfuncionario de la empresa que participó en la implementación de la Transformación Digital de Pemex, que inició en 2017, quien pidió el anonimato, si el propósito del ataque a los sistemas informáticos fue borrar información comprometedora, “es altamente posible que se haya logrado”.
Indicó que “en 26% de los casos, un ataque cibernético exitoso puede eliminar más de 10 mil registros”.
Reconoció que incluso con las acciones emprendidas para modernizar y dar seguridad a los sistemas informáticos de Pemex, “estaba programado que las tecnologías de información de la empresa alcanzaran un nivel de madurez de 2.4 durante este año, cuando el recomendado internacionalmente es de 4”.
Esto significa que la petrolera todavía presenta brechas importantes en materia de tecnologías de la información que tienen un costo de 4 mil millones de dólares.
Respecto a la seguridad y la conectividad a la red se pensó en llegar al nivel 3, “aunque es poco probable”, precisó el exfuncionario.
“La posibilidad de alcanzar las metas para este año se comprometió por los recortes al gasto en programas estratégicos en materia de tecnologías de la información”, dijo.
Añadió que en una intromisión exitosa a los sistemas informáticos de Pemex, como la que se presentó el 10 de noviembre pasado, “hay responsables, considerando que muchos de los proveedores fueron contratados para proporcionar seguridad a los sistemas”.
Contrato de resguardo
Pemex migró información que se almacena en grandes bases de datos y la que debe estar “bien cuidada”, para guardarla en la nube de Microsoft y celebró un contrato en 2018 con vigencia al 10 de julio de 2021 con Axtel, por 32.7 millones de pesos más IVA. El acuerdo correspondiente es el 2018-238 PMX_DOPA_PC_GCSSS-SA-CA-N-S, Servicio Expressroute para acceso a la Nube de Microsoft Azure y Office 365.
Además, la empresa le ha pedido a los trabajadores evitar conectarse a la red institucional de internet, pero en este caso está vigente hasta 2021 el contrato 2018-294-PMX_DOPA_PC_GCSSS-SA-C-A-N-S, Servicio de Comunicación Segura para el Acceso a Internet de Petróleos Mexicanos, Empresas Productivas Subsidiarias y Filiales, diseñado para la “protección a la navegación de 60 mil usuarios dentro de la red de la petrolera distribuidos en los sitios previos”, concretamente en materia de detección y respuesta de cómputo y de fuga de información.
El contrato supone servicios de comunicación segura en las instalaciones de Pemex en la Ciudad de México, en Villahermosa, Ciudad del Carmen, Minatitlán, Poza Rica, Zapopan y Reynosa.
El contrato fue asignado a las empresas Tecnologías de la Información América en consorcio con Empresa Operbes, Servicios Operbes, Soluciones Integrales Saynet y Asesorías Integrales TI, por un monto de 615.5 millones de pesos más IVA.
El servicio de acceso a la red de internet bajo demanda con infraestructura para Pemex y sus empresas productivas subsidiarias lo venía entregando Axtel y Teléfonos de México, de acuerdo con el contrato 2018-403-PMX_DOPA_PC_GCSSS-SA-C-A-N-S, con un valor de 35 millones de pesos.
Otro acuerdo vigente hasta 2020 es el de servicios integrales, administrado de equipos de cómputo de escritorio, portátiles, replicadores de puertos y monitoreo destinado a 67 mil 223 equipos y monitores, por mil 662 millones de pesos.