21 días, 20 días, 19 días… A inicios de diciembre la liga que los cibercriminales dan a Petróleos Mexicanos (Pemex) para pagar los 4.9 millones de dólares en bitcoins se va a eliminar, la principal petrolera del país que detectó el ransomware desde el domingo ya no podrá negociar y la información se quedará encriptada. No se sabe si cuentan con respaldos.
El malware con el que se atacó a la petrolera mexicana es un software destinado a acceder a un dispositivo de forma inadvertida, sin el conocimiento del usuario. Los tipos de malware incluyen spyware (software espía), adware (software publicitario), phishing, virus, troyanos, gusanos, rootkits, secuestradores del navegador y ransomware, que es el que hoy le quiebra la cabeza a los especialistas en Pemex.
“Abres una página de una máquina infectada y en la parte de arriba dice ‘días restantes’ para shutdown. Hoy (jueves) restaban 19, anteriormente decían 21 días. Mañana (viernes) probablemente diga 18 días. El malware hace el conteo”, dijo un trabajador de la refinería de Tula, Hidalgo, sección 35. “Estoy preocupado porque el conteo va hacia atrás. Dice que se va a borrar por completo todo, pero no sabemos qué es todo. Increíble que sea la petrolera más grande del país y sea atacada”.
Aunque cuentan con protocolos de seguridad por si se registra alguna explosión o siniestro dentro de la petrolera, no existen protocolos de ciberseguridad. Solo tienen letreros en las puertas pidiendo que no usen las computadoras, lo cual “refleja una falta de planeación y visión porque la información es poder y la falta de conocimiento es carísima”, observó el especialista en ciberseguridad, Héctor Solís, de la consultora TeCT.
“No hay ningún movimiento administrativo. Hoy (jueves) fui al área y se están viendo la cara uno con otro porque está todo parado”, afirmó el trabajador en la sección 35 sobre la refinería en Hidalgo, una de las seis en México.
En el área productiva, “impacta en los balances enviados por vía administrativa cada 24 horas a la Ciudad de México, donde se concentran los de las seis refinerías sobre producción e insumos para producir. Estamos operando a ciegas”.
Las instrucciones de los ciberdelincuentes es que descarguen el navegador Thor, en la deepweb, y coloquen una “dirección larguísima” para que se reciban instrucciones sobre el pago, y en 48 horas prometen haber desencriptado las computadoras.
El petrolero de Tula compartió que su máquina le muestra la leyenda de que necesita urgentemente una actualización de seguridad.
“A lo mejor no han pagado las licencias de Microsoft”, dijo. Tienen computadoras HP con el sistema operativo de Windows.
La revista Contralínea publicó esta semana que “desde la Dirección General de la principal empresa del Estado se ordenó cancelar algunos contratos con la trasnacional Microsoft, que estaba encargada de proporcionar los sistemas de seguridad cibernética”.
Los trabajadores han manifestado a la cuenta de Twitter de Pemex que siguen enfrentando complicaciones para acceder a los sitios Ebdi.Pemex (base de datos) y PTQ.Pemex (atención al cliente). Luego del ciberataque, laboran a mano.