Hackers exigen USD 5 millones en bitcoin a la petrolera mexicana Pemex

Hackers exigieron casi USD 5 millones en bitcoin a la empresa Petróleos Mexicanos (Pemex), diciendo además que la empresa perdió la oportunidad de obtener un “descuento especial” al no pagar inmediatamente después del ataque, el cual arruinó parte de los sistemas informáticos de la compañía.

El ciberataque, que Pemex detectó este 10 de noviembre, obligó a la empresa a apagar computadoras en todo México, congelando hasta los sistemas de pago. De esta forma, los hackers siguen apuntando cada vez más a las grandes empresas, a las cuales atacan con programas maliciosos que pueden incapacitar los sistemas que supervisan todos sus procesos, desde cadenas de suministro hasta producción, eliminando el malware después de recibir pagos sustanciales.

Una nota de rescate que apareció en las computadoras de Pemex  hacía referencia a un sitio web de la darknet (web oscura) afiliado con “DoppelPaymer”. Se trata de un tipo de ransomware relativamente nuevo, que la firma de seguridad cibernética CrowdStrike cita como el responsable de los ataques contra el Ministerio de Agricultura de Chile y la ciudad de Edcouch, en Texas, EE. UU.

El sitio web exigía a Pemex 565 BTC, casi USD 5 millones al cambio actual, dando a la petrolera un plazo de 48 horas para hacer el pago e indicando una dirección de correo electrónico para hacer contacto. Al escribir al correo electrónico los supuestos hackers contestaron, diciendo que la empresa había perdido el plazo para un “precio especial”, refiriéndose a los descuentos que se ofrecen a las víctimas de ransomware por hacer pagos adelantados.

Este ataque representa una nueva amenaza para Pemex, que está luchando para pagar grandes deudas, revertir años de disminución de la producción de petróleo y evitar reducciones en sus puntuaciones de crédito. Sin embargo, la empresa informó que sus instalaciones de almacenamiento y distribución funcionaban normalmente y que el ataque había afectado a menos del 5% de sus computadoras.

Sobre ello, una persona que trabaja en el área de producción y exploración de Pemex informó que esta división no fue afectada. No obstante, de acuerdo a las declaraciones de otra fuente, que habló bajo condición de anonimato, el martes pasado Pemex estaba reconectando computadoras no afectadas a su red con parches de software, además de limpiar las computadoras infectadas.

Se explica igualmente que al principio hubo confusión sobre el tipo de ransomware que se utilizó en el ataque. Un funcionario de Pemex expresó en un correo que se trataba de Ryuk, un ransomware que normalmente se dirige a empresas con ingresos anuales de entre USD 500 y 1.000 millones, muy por debajo de los niveles de Pemex.

Luego del ataque, Pemex tuvo que comunicarse con el personal a través del servicio de mensajería móvil WhatsApp, porque los empleados no podían abrir sus correos electrónicos, agregó otra fuente, que tampoco estaba autorizada para hablar con los periodistas. “En finanzas, todas las computadoras están apagadas, eventualmente podría haber problemas con los pagos”, añadió la persona.

Las empresas que son tomadas como rehenes digitalmente pueden sufrir daños catastróficos, paguen o no un rescate. La productora noruega de aluminio, Norsk Hydro, fue atacada en marzo de este año por un ransomware que se expandió a 160 sitios, forzando a partes de la empresa a operar en papel y lápiz. La compañía se negó a pagar el rescate, pero explicó que el ataque generó hasta USD 71 millones en costos de limpieza, de los cuales solo USD 3,6 millones han sido pagados por el seguro.

Versión traducida del artículo de Adriana Barrera y Raphael Satter publicado en Reuters.