¿PEMEX pagará los $5 MDD a los hackers por el ataque de ransomware?

Hace un par de días especialistas en seguridad de aplicaciones web reportaron un ataque de ransomware contra Petróleos Mexicanos (PEMEX), compañía petrolera mexicana controlada por el Estado. Aunque la compañía no reconoció explícitamente la infección de ransomware, se menciona que los hackers responsables del ataque habrían exigido alrededor de 5 millones de dólares en Bitcoin para restablecer sus sistemas.

Después de que diversos medios locales revelaran el incidente, PEMEX declaró que el incidente fue detectado el pasado 10 de noviembre; posteriormente se tomó la decisión de apagar todas las computadoras en diversas instalaciones, lo que interrumpió algunas actividades administrativas y operaciones financieras.

Algunos medios afirman que los actores de amenazas dieron a PEMEX un plazo de sólo 48 horas para ponerse en contacto con ellos y gestionar el pago del rescate.

No obstante, en un comunicado la compañía invitó a los interesados a “evitar la desinformación y los rumores”, subestimando la seriedad del incidente. Acorde a especialistas en seguridad de aplicaciones web, PEMEX sólo reconoció el ataque contra una cantidad menor al 5% de sus computadoras, asegurando que el resto de su infraestructura de TI, instalaciones y actividades de distribución funcionan de forma normal.

Respecto a la variante de ransomware usada por los atacantes, en un inicio se mencionó que PEMEX fue infectada con el peligroso malware Ryuk, aunque algunas imágenes filtradas por empleados de la compañía muestran una nota de rescate vinculada a las infecciones del ransomware DoppelPaymer.

Las campañas de ataque de ransomware contra organizaciones públicas se han vuelto algo muy común en E.U. durante los últimos meses. Hace un par de meses, el estado de Louisiana se declaró en estado de emergencia debido a que un peligroso malware de cifrado infectó la infraestructura de TI de la mayoría de los distritos escolares del estado. El proceso de recuperación de este incidente requirió de la intervención de las autoridades estatales, federales, agencias de inteligencia y especialistas externos.

Otro caso reciente fue reportado en Texas, donde el Departamento de Recursos Informáticos (DIR) reportó que al menos 23 organizaciones del gobierno estatal habían sufrido una severa infección de ransomware; algunos casos similares también se han presentado en Canadá, aunque no parece haber muchos antecedentes de esta clase afectando compañías públicas en México.

Hasta el momento se ignora si la petrolera mexicana accedió a pagar el rescate o si restablecerá su información a partir de sus respaldos. En cualquier caso, especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que los meses siguientes serán de mucho trabajo para PEMEX, pues además de llevar a cabo su proceso de recuperación, deberán realizar un exhaustivo análisis de sus políticas y prácticas de seguridad, además de una investigación forense digital para determinar cómo ocurrió el ataque y prevenir nuevos incidentes en el futuro.