Hackeo a Pemex puede considerarse como un delito de extorsión

La empresa estatal Petróleos Mexicanos (Pemex) fue infectada el domingo 10 de noviembre por un software malicioso conocido como ransomware. Según la propia compañía, este virus afectó “a menos de 5% de los equipos personales de cómputo”, pero existe información que afirma que el ataque sigue activo y que sus ejecutores demandan casi 5 millones de dólares a Pemex para detenerlo.

¿Qué fue lo que pasó?

Se cree que el software malicioso llamado DoppelPaymer fue inyectado a la infraestructura de tecnologías de la información de Pemex. Este software es catalogado como un ransomware, una ejecución de código informático que "secuestra" equipos e información hasta que sus propietarios pagan un rescate.

¿Qué es un ransomware?

El ransomware, término que proviene de las palabras ransom (secuestro) y malware (software malicioso), es un tipo de malware que los cibercriminales usan para encriptar la información de los sistemas infectados. Al usar este tipo de software, los cibercriminales buscan pedir un rescate, casi siempre económico, para devolver los equipos y la información a sus titulares. Esto afecta a la disponibilidad de la información, considerada uno de los tres elementos básicos de la seguridad informática, además de la integridad y la confidencialidad. 

¿Qué exigen los hackers a Pemex?

Los presuntos cibercriminales que infectaron los equipos de Pemex exigen un rescate de 565 bitcoins, correspondientes a alrededor de 4.9 millones de dólares, para liberar la información contenida en los equipos infectados. Un bitcoin es un activo digital valuado este miércoles en unos 169,843 pesos por unidad.

¿Qué han dicho Pemex y el gobierno?

La información oficial ha confirmado el ataque, aunque ha ofrecido muy pocas pistas para revelar su magnitud y sus posibles alcances. De parte del gobierno federal, la secretaria de Energía, Rocío Nahle, confirmó que los cibercriminales han exigido el pago de un rescate, pero dijo que Pemex "no pagará" porque "es una empresa seria".

Pemex tardó 24 horas desde que se iniciara el ciberataque para informar en un comunicado que operaba “con normalidad” y que el funcionamiento de los sistemas de operación y producción de la empresa no estaban comprometidos, “además de que se encuentran blindados”.

Rocío Nahle afirmó que el incidente se verificó en el área administrativa de la Torre de Pemex; las demás operaciones de la compañía no sufrieron daños, dijo en referencia a plantas productoras, pozos de extracción y exploración, transporte marítimo y terrestre y toda la logística de la petrolera.

El presidente Andrés Manuel López Obrador opinó sobre el ataque cibernético durante su conferencia de prensa de este 13 de noviembre y dijo que el incidente no había sido tan grave y que los cibercriminales no habían logrado nada, “porque se está trabajando”.

La agencia de noticias Bloomberg indicó que el ciberataque aún no ha sido resuelto e incluso citó a los presuntos cibercriminales, quienes habrían dado un plazo a la compañía, que culmina el 30 de noviembre, para realizar el pago exigido.

¿Cuáles son las repercusiones del ciberataque?

Las consecuencias de este ciberataque corren en varios sentidos y pasan por las repercusiones a la disponibilidad de la información de la compañía, además de las implicaciones legales que deberán enfrentar tanto los cibercriminales como los funcionarios públicos encargados de la seguridad de la información y las tecnologías  utilizadas por Pemex.

En un comunicado, la firma de ciberseguridad Darktrace aseguró que si bien el daño ocasionado por el ataque con el ransomware DoppelPaymer parece ser mínimo, debe ser considerado como una llamada de atención. 

La mayoría de la maquinaria y equipo utilizados en las instalaciones de estas empresas es vulnerable a este tipo de ciberataques. “Los atacantes internos y empleados descuidados, las medidas de protección inadecuadas de todas las redes informáticas y los nuevos aparatos industriales de IoT (Internet de las Cosas) representan enormes vulnerabilidades de seguridad”, dijo Laura Jiménez, directora regional de Darktrace, citada en el comunicado.

¿Qué dice la ley mexicana?

Cynthia Solís, abogada especializada en derecho de las Tecnologías de la Información y socia del despacho LEXINF, dijo a El Economista que este incidente de seguridad entra dentro del tipo penal de extorsión contenido en el artículo 390 del Código Penal Federal.

“Al tratarse de un ransomware, con el que la información se encuentra cifrada, el titular de la misma no tiene acceso a ella a menos que pague, por lo que se trata de un delito de extorsión”, dijo Solís. El Código Penal de la Federación también considera como delito, en su artículo 211 bis 2, la modificación, destrucción o pérdida de información contenida en sistemas o equipos de informática del Estado. Este delito se sanciona con uno a cuatro años de prisión y de 200 a 300 días de multa.

Cynthia Solís agregó que dependiendo de si los funcionarios públicos de Pemex habían tomado o no las medidas necesarias de seguridad para proteger la información y los equipos también sería posible fincar responsabilidades legales en contra de estos.  

rodrigo.riquelme@eleconomista.mx

kg