Pemex continúa enfrentando el ciberataque con ransomware detectado desde el domingo pasado y que “secuestró” su información a cambio de 4.9 millones de dólares. Sin embargo, además de la petrolera mexicana, este 2019 sitios web del Gobierno de México han sido blanco de defacement, otro tipo de hackeo que deforma la página web. Entre ellos, el de la Secretaría de Relaciones Exteriores y las de 19 gobiernos estatales y locales, muestra el portal Zona-H. El especialista en ciberseguridad Rigo Sandoval planteó que aunque estos son menos agresivos, son ya una llamada de alerta.
Ciudad de México, 16 noviembre (SinEmbargo).– Del 3 de enero al 3 de noviembre de 2019, sitios web y subdominios del Gobierno de México a nivel federal y estatal –tanto con Windows como con Linux– han sido víctimas del ciberataque defacement (deformación de una página web) dirigido por hackers “de sombrero negro”, de acuerdo con Zone-H, un portal donde se publican sus acciones.
Sin embargo, este tipo de ataques no han sido “tan agresivos” como el ransomware (encriptación de datos y solicitud de dinero para liberarlos) que mantiene secuestrada la información de máquinas de algunos trabajadores de Petróleos Mexicanos (Pemex), explicó Rigo Sandoval Uribe, especialista en ciberseguridad. La petrolera lo reconoció públicamente hasta el lunes pasado en la noche, pero afirmó que el ataque “no había prosperado”.
“Estos son pequeños ataques (crackeos) y por hackers de un perfil más abajo; como si fueran ‘asaltantes’. Es información que tienes en la web y de alguna manera no afecta tanto. Pero es una llamada de atención. Hay algunos hackers que buscan sólo fama”, dijo. “Para que no sufras de esto se requiere de mucho dinero y de mucha infraestructura, de un Plan de Recuperación de Desastres para restaurar la información lo más rápido posible. En el caso de Pemex, llegó una ‘banda criminal’ pidiendo dinero, no son unos novatos. Es un grupo muy bien conformado, sólido y con conocimientos avanzados”.
La Secretaría de Relaciones Exteriores (SRE) recibió el ciberataque el 22 de septiembre de este año a las 10:19 horas con la leyenda “HACKED BY SERAVO ;))”, un hacker de “sombrero negro”. El tipo de daño al sitio registrado fue Redefacement.
“Eso significa que lo repararon en el área de sistemas y lo volvieron a atacar”, afirmó Sandoval. “Que no tengan la seguridad adecuada deja mucho que desear, porque si son ataques pequeños y los están recibiendo, qué puede llevar a pasar”.
El especialista en ciberseguridad Rigo Sandoval expuso que se debería dar más prioridad y presupuesto a la Policía Cibernética para prevenir de manera más eficiente este tipo de casos.
ATAQUES A GOBIERNOS LOCALES
Este 2019 también han sido blanco del ciberataque defacement sitios web de gobiernos estatales, municipales o dependencias públicas de Tabasco, Chiapas, Oaxaca, Guerrero, Jalisco, Veracruz, Coahuila, Sinaloa, Puebla, San Luis Potosí, Nuevo León, Tlaxcala, Tamaulipas, Querétaro, Estado de México, Aguascalientes, Colima, Michoacán y Zacatecas, de acuerdo con el portal Zona-H. Algunos son dominios y otros subdominios, incluyendo sobre zonas turísticas.
Además del tipo recibido por la SRE (redefacement), los otros detectados por Zone-H son el Homepage defacement (el home muestra una leyenda o un gif sobre el hackeo) o el Mass defacement (un hackeo masivo, por lo que daña o infiltra prácticamente todo el sitio), explicó Rigo Sandoval, especialista en ciberseguridad.
“En algunos casos, no solamente entran y dejan un archivo. No. Entran al servidor, y pueden ver todos los datos, dentro del sitio web. En la mayoría de las veces queda el nombre del hacker”, expuso Sandoval.
SIGUE EL ATAQUE EN PEMEX
Sobre ciberseguridad en Pemex, la Auditoría Superior de la Federación (ASF) observó en la Cuenta Pública 2018 que “en relación con la protección de equipos de usuario final, se identificó que algunos no se encontraban protegidos, lo que los hace vulnerables a los ataques cibernéticos”.
Asimismo, le advirtió que “no se gestiona activamente ni se actualizan las reglas de configuración de seguridad de los dispositivos de infraestructura de red, tampoco se cuenta con un proceso formal relacionado con dicha actividad”.
Este viernes por la tarde Pemex pidió hacer caso omiso al boletín apócrifo que circuló en la mañana en diversos medios de comunicación y redes sociales sobre supuestos retrasos de pago de nómina y aguinaldo a trabajadores de la empresa.
Sin embargo, el ransomware detectado desde el domingo mantiene encriptada la información de algunas máquinas de los trabajadores, por lo que entre ellos hay incertidumbre si llegará el aguinaldo programado para la primera semana de diciembre.
“El ransomware con el que atacaron a Pemex probablemente lo hizo un grupo ruso que se le conoce en el mundo del hackeo como TA505”, expuso el especialista Rigo Sandoval. “Está especializado en atacar objetivos de alto perfil. Atacaron el Ministerio de Agricultura de Chile y en Estados Unidos al Condado de Texas. El dirigido a Ohio Gratings Inc (aluminio y acero) fue con un ransomware que muestra en el monitor un mensaje como en las máquinas de Pemex”, comparó.
De acuerdo con Sandoval, cuando concluyan los 21 días señalados por este malware en algunas máquinas de los petroleros “se perderá” la información encriptada al borrarse por falta del pago.
“El tiempo que le vaya a costar volver a operar depende de cuánta información esté ahorita secuestrada. Pemex dice que fue el 5 por ciento, pero son 10 mil computadoras”, dijo. “El desconectar los equipos es una medida tardía. No se va a resolver así. Ya tienen la infección, y lo que hay que hacer es combatirla”.
Aunque en algunos casos sí se puede recuperar información, en el caso de la empresa pública más importante del país aún no se sabe.