‘Tic-tac tic-tac’ El tiempo corre en el ataque a Pemex y la exigencia de un pago de rescate

Rocío Nahle, secretaria de Energía, afirmó que la petrolera no pagará y espera que los problemas se resuelvan este mismo miércoles.

México. El hacker detrás de un ataque cibernético que ha paralizado los sistemas informáticos de Petróleos Mexicanos (Pemex) desde el fin de semana podría haber puesto una fecha límite para el pago de un rescate de 5 millones de dólares: el 30 de noviembre.

No obstante, Pemex piensa diferente y advirtió que no pagará por el rescate, con la esperanza de resolver este miércoles los problemas creados por el ataque, anunció Rocío Nahle, secretaria de Energía.

El comentario es la ‘pieza’ más reciente de un drama que enfrenta a la empresa productiva del Estado contra un hacker desconocido que utiliza el alias ‘Joseph Atkins’ en una dirección de correo electrónico.

La persona declinó hacer comentarios en respuesta a un correo electrónico de Bloomberg News hasta el próximo 30 de noviembre, fecha que marca el final de un plazo de tres semanas dado a la petrolera.

El hacker aclaró que los ataques cibernéticos de su grupo no están limitados al sector energético y sugirió que estuvo detrás de ataques a otras empresas como Roadrunner, una empresa de servicio de transporte de carga de camiones con sede en Wisconsin.

“Ellos no nos pagaron y se recuperaron por su cuenta y nos dejaron gigabytes con su información”, afirmó la persona en un inglés con muchos errores.

La dirección de correo electrónico se obtuvo de un mensaje enviado a un empleado de Pemex, en el que solicitaron el dinero del rescate, al que tuvo acceso Bloomberg News.

“Cuanto más rápido se ponga en contacto, menor será el precio que puedan esperar pagar”, indicó.

Pemex declinó comentar sobre si los hackers impusieron una fecha límite para el pago del rescate. La petrolera aseguró, en un comunicado, que sus operaciones continuaban con normalidad después de haber sido víctima de un ataque cibernético el pasado 10 de noviembre que afectó menos de 5 por ciento de sus dispositivos informáticos.

La incursión resaltó la creciente ‘epidemia’ de ataques contra compañías a nivel global y en los cuales se utilizan sus vulnerables sistemas informáticos contra ellos, secuestrando datos que necesitan para funcionar, como en el caso de Pemex.

Si bien algunas compañías resisten los ataques, otras ceden y terminan pagando, a menudo siguiendo el consejo de expertos en seguridad, lo que alimenta nuevos ataques.

En el caso de Pemex, los hackers atacaron a un poderoso símbolo de orgullo nacional para México que pasa por tiempos difíciles. Pemex, que fue alguna vez un motor importante de la salud económica del país, enfrenta casi 15 años de continua disminución de su producción.

En una señal reciente de la vulnerabilidad del gigante petrolero, Fitch Ratings recortó la calificación de su deuda en junio pasado y la puso en grado ‘especulativo’.

“Debe haber algunos cambios si quieren mantener la calma del mercado después de estos ataques”, advirtió Mario Ahumada, analista senior de energía e infraestructura para la consultora de riesgos EMPRA en la Ciudad de México.

Roadrunner, quien declinó una solicitud de comentarios de Bloomberg News, reveló que sus sistemas fueron violados en 2018. En una carta dirigida al fiscal general de New Hampshire, el abogado de Roadrunner detalló que un hacker obtuvo acceso a Workday, la plataforma de gestión de recursos humanos de la compañía, por medio de correos electrónicos de phishing enviados a sus empleados.

Workday contenía la información privada de los empleados de Roadrunner, como su nombre, dirección, número de Seguro Social e información de nómina.

En una carta dirigida a los empleados afectados, Roadrunner mencionó que el hacker modificó la información de depósito de dinero directo de algunos de sus empleados. No obstante, detectó los cambios antes de que se transfirieran los fondos.

No está claro si el ataque contra Roadrunner es el mismo al que hizo referencia la persona que afirma estar involucrada en el ataque a Pemex.

Sin acceso a los sistemas

Este miércoles, algunos empleados de Pemex aún no pueden ingresar a sus computadoras y se les recomendó que no iniciaran sesión en la red de la compañía, según dos personas familiarizadas con la situación. El personal de Pemex ha estado ocupado desde el martes limpiando computadoras infectadas e instalando parches de software, comentó otra de las fuentes.

Por ello, la petrolera se está apoyando en la facturación manual lo que podría afectar el pago para su personal y proveedores, además de obstaculizar las operaciones de la cadena de suministro, subrayaron fuentes quienes pidieron el anonimato porque no están autorizadas a hablar con la prensa.

Las facturas para el combustible que se entrega desde las terminales de almacenamiento de Pemex a las estaciones de gasolina se escriben a mano, y los empleados de la petrolera temen que si el problema no se resuelve no recibirán el pago de su próximo salario, que está programado para el próximo 27 de noviembre.

Ni Pemex ni las autoridades mexicanas han identificado el tipo de malware utilizado en el ataque. Sin embargo, hay indicios de que puede ser una cepa conocida como DoppelPaymer, según la firma de ciberseguridad Crowdstrike. Esta compañía vio por primera vez a DoppelPaymer desplegado en ataques cibernéticos realizados en junio, dijo Adam Meyers, vicepresidente de inteligencia de la compañía.

Crowdstrike había ligado previamente el correo electrónico de ‘Joseph Atkins’ con los ataques DoppelPaymer.

Por otra parte, la compañía de ciberseguridad Coveware también conectó el ataque con DoppelPaymer después de revisar la nota de rescate y el correo electrónico asociado, que se publicó en línea, según Bill Siegel, el director ejecutivo y cofundador.

“El alcance y la naturaleza” del ataque es consistente con los ataques de DoppelPaymer, que generalmente apuntan a grandes empresas, agregó.

Ataques van por compañías de alto perfil

Meyers explicó que los ataques con el malware DoppelPaymer se ejecutan generalmente contra ‘objetivos de alto valor’, como una organización de salud, un distrito escolar o una imprenta, y se ejecutan en un momento en el que sus operaciones no puedan verse interrumpidas, lo que las orilla a pagar un rescate, que va de los miles a los millones de dólares.

Los ataques con DoppelPaymer tienden a ser ‘financieramente criminales por naturaleza’, según Meyers. Los hackers implanta el ransomware en los objetivos para que estos queden ‘fuera de acción’ hasta que paguen el rescate, o de lo contrario tomen la costosa acción de restaurar los datos de sus copias de seguridad.

El ataque de ransomware contra Pemex, en el cual los hackers congelan los sistemas hasta que reciben el pago de un rescate, es el último ataque contra la industria de los productos básicos. Los problemas de pago provocados por este tipo de incursiones pueden interrumpir una cadena de suministro que se extiende a través de las cadenas minoristas de combustible, las empresas comerciales mundiales, los servidores de la industria petrolera y las empresas de transporte.

Foto: Shutterstock

Texto: Amy Stillman, William Turton y Alyza Sebenius | Bloomberg