Pemex sigue mostrando vulnerabilidad: ASF

Después de transcurridos once meses del mayor ataque cibernético a Petróleos Mexicanos (Pemex), la Auditoría Superior de la Federación dictaminó que la petrolera "sigue mostrando vulnerabilidad en sus sistemas que aumenta el riesgo de un incidente de seguridad informática que podría ocasionar un impacto negativo en los activos de información y procesos de negocio de la empresa".
En los resultados de Informes Individuales de la Fiscalización Superior de la Cuenta Pública 2019, que corresponde al primer año de esta administración, el organismo sostiene que hubo responsabilidad de funcionarios públicos, que, en su gestión en 2018, no atendieron las recomendaciones para fortalecer la ciberseguridad de la petrolera.
Pero añade, que a octubre de este año y con base en los resultados obtenidos en la auditoría practicada, cuyo objetivo fue "fiscalizar la gestión financiera de las contrataciones relacionadas con las tecnologías de la información y comunicación (TIC)", se detectaron inconsistencias que aún persisten, a pesar de que entre 2015 y 2019, Pemex invirtió 11 mil 545.5 millones de pesos miles de pesos en sistemas de información e infraestructuras tecnológicas.
"Las deficiencias persisten en los controles asociados al inventario de software autorizado y no autorizado; configuraciones seguras para hardware y software en los dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores; aplicación de software de seguridad, así como en las pruebas de penetración y ejercicios de equipo rojo; lo anterior puede causar un impacto en la seguridad de los activos de información, así como en los procesos de negocio de la empresa", lo que representa incumplimiento de la Ley General de Responsabilidades Administrativas, publicada en el Diario Oficial de la Federación el 18 de julio de 2016.
Se carece, por ejemplo, de un adecuado control, manejo, evaluación, supervisión y validación del inventario de equipos de cómputo, debido a las diferencias en el control de Inventarios, determinados durante la auditoría y por la falta de evidencias del soporte documental que deje constancia de las revisiones o cambios para acreditar el detalle de los equipos pagados mensualmente.
Se detectaron servidores y equipos de cómputo con sistemas operativos obsoletos que ya no cuentan con soporte por parte del fabricante, lo cual aumenta el riesgo para la seguridad de la información, debido a la falta de actualizaciones de seguridad para remediar vulnerabilidades que están expuestas a ataques cibernéticos.
Además, la vulnerabilidad de los servidores Microsoft SharePoint que estaban expuestos a la web, la cual fue explotada por el hacker en el incidente de seguridad informática del 10 de noviembre de 2019, había sido corregida por el fabricante seis meses antes del ataque, sin embargo, debido a la falta de gestión de actualizaciones de seguridad (parches), entre otros controles, la vulnerabilidad no fue remediada por Pemex, lo que contribuyó para que los equipos de cómputo hayan sido secuestrados, ocasionando la pérdida de activos de información en los servidores y equipos de usuario final, así como la interrupción de los procesos de negocio de la empresa.
En ese momento, la empresa reconoció que fueron afectados 1 mil 182 servidores Windows de los cuales 203 (17.2%) tenían instalado el sistema operativo Windows 2003; 703 (59.5%) Windows 2008; 216 (18.3%) Windows 2012 y 60 (5.0%) Windows 2016; respecto a los servidores 166 (14.0%) son físicos y 1,016 (86.0%) son virtuales.
Asimismo, se identificó que 1 mil138 (96.3%) de los servidores afectados corresponden al ambiente productivo; 9 (0.7%) al ambiente de calidad y 35 (3.0%) al ambiente de desarrollo.
En relación con los equipos de usuario final (portátiles y de escritorio), se identificó que Pemex cuenta con alrededor de 56 mil 393 equipos de cómputo, de los cuales 11,054 (19.6%) fueron afectados por el incidente de seguridad; dichos equipos tienen instalado el sistema operativo Windows 7, 8.1 y 10; cabe señalar que el soporte ampliado del fabricante para Windows 7 finalizó el 14 de enero de 2020.
De los 11 mil 054 equipos afectados se identificó que 9 mil 242 (83.6%) contaban con el agente ATP (Protección Avanzada contra Amenazas) y mil 812 (16.4%) no lo tenían; para el caso del agente DLP (Prevención de Pérdida de Datos), se identificó que 8 mil 21 (72.6%) lo tenían instalado y 3 mil 33 (27.4%) no.
La ASF explica que se pudo observar "que no fue sino hasta después del incidente de seguridad cuando comenzaron las campañas de comunicación relacionadas con temas de ciberseguridad y se generan eventos de formación (e-learning)".
Sin embargo, subraya que se desconocen las actividades realizadas para la preservación de las evidencias (personal que tuvo acceso a las evidencias, procedimientos para trabajar con la evidencia, procedimiento de cadena de custodia), por lo que no se puede emitir un pronunciamiento al respecto.

Coberturas petroleras costaron 25,455 mdp: ASF
Para poder blindar los ingresos y evitar recortes al gasto público del 2020, el gobierno federal adquirió en los mercados internacionales coberturas petroleras por un costo de 25 mil 455 millones de pesos, según los informes de la Auditoría Superior de la Federación (ASF) que entregó hoy a la Cámara de Diputados.
De acuerdo con el resultado de la auditoría de cumplimiento para fiscalizar la gestión financiera para comprobar que los ingresos, egresos y la reserva del Fondo de Estabilización de los Ingresos Presupuestarios (FEIP), que realizó a la Cuenta Pública del 2019, se da cuenta que se utilizó parte de dichos recursos para la contratación del seguro petrolero.
Indica que para compensar la disminución de los ingresos del gobierno federal, se adquirieron coberturas petroleras y la reserva del FEIP no rebasó el límite establecido en la Ley Federal de Presupuesto y Responsabilidad Hacendaria.
Se menciona que el FEIP dispone que los recursos que integran el patrimonio de este fideicomiso se aplicarán, entre otros aspectos, a cubrir el costo de la contratación o adquisición de coberturas e instrumentos de transferencia significativa de riesgos que contribuyan a la estabilidad de los ingresos del gobierno federal.
El universo seleccionado para la auditoría fue de un monto de 35 mil 246 millones de pesos de dicho fideicomiso que sirve de ahorro para cubrir faltantes del presupuesto.
De ese monto, corresponde por productos financieros o rendimientos generados por las inversiones en valores 21 mil 627 millones de pesos, por aportaciones recibidas del Fondo Mexicano del Petróleo para la Estabilización y el Desarrollo (FMPED) 11 mil 454 millones de pesos.
Por otros ingresos por la recuperación de la estrategia de coberturas petroleras para 2019 y la variación cambiaria, un neto de 2 mil 164 millones de pesos.
La Secretaría de Hacienda y Crédito Público (SHCP) creó el FEIP el 26 de abril de 2001 en su carácter de fideicomitente único de la Administración Pública Federal, y por Nacional Financiera
Desde la Cuenta Pública 2015, la Auditoría Superior de la Federación ha revisado en forma recurrente el FEIP.