• don urbano

El sistema informativo de Pemex sigue vulnerable pese a hackeo en 2019, alerta ASF




La Auditoría Superior de la Federación (ASF) sostuvo que el sistema informático de Petróleos Mexicanos (Pemex) sigue vulnerable a un incidente de inseguridad pese a que el año pasado fue ‘hackeado’, ya que sus sistemas operativos se encontraban desactualizados, al menos hasta la fecha de revisión al cumplimiento de tecnologías de la información y comunicaciones.

“Con relación a los controles de ciberseguridad, respecto al ejercicio 2018 no se registran avances en el inventario de software autorizado y no autorizado, en las configuraciones seguras para hardware y software en los dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores, en la aplicación de software de seguridad, así como en las pruebas de penetración y ejercicios de equipo rojo”, se menciona en la segunda entrega de 2019 del informe de la Auditoría.

De acuerdo a la ASF, el sistema informático de Pemex carece de un adecuado control, manejo, evaluación, supervisión y validación del inventario de equipos de cómputo, ya que hay diferencias en el control de inventarios y falta de constancia de las revisiones o cambios para acreditar el detalle de los equipos pagados mensualmente.



Se detectaron servidores y equipos de cómputo con sistemas operativos obsoletos que ya no cuentan con soporte por parte del fabricante, por lo que aumenta el riesgo de ser vullnerados, ante la falta de actualizaciones de seguridad para remediar vulnerabilidades que están expuestas a ataques cibernéticos.


“La vulnerabilidad de los servidores Microsoft SharePoint que estaban expuestos a la web, la cual fue explotada por el hacker en el incidente de seguridad informática del 10 de noviembre de 2019, había sido corregida por el fabricante seis meses antes del ataque.


"Sin embargo, debido a la falta de gestión de actualizaciones de seguridad (parches), entre otros controles, la vulnerabilidad no fue remediada por Pemex, lo que contribuyó para que los equipos de cómputo hayan sido secuestrados, ocasionando la pérdida de activos de información en los servidores y equipos de usuario final, así como la interrupción de los procesos de negocio de la empresa”, expuso.


Asimismo, la ASF identificó fallas en la revisión periódica de las actividades realizadas por los proveedores para el cumplimiento de sus obligaciones contractuales, ya que falta información de las fechas de elaboración, responsables, autorizaciones, roles, tiempos y actividades que sirven de base para la realización de los servicios relacionados con los sistemas de informática.


“Se requiere implementar procedimientos para la revisión, evaluación y gestión de parches para las actualizaciones de seguridad en los equipos de cómputo y servidores, así como realizar la migración de las plataformas obsoletas para las cuales ha terminado su periodo de soporte ampliado por parte del fabricante, con la finalidad de mitigar el impacto de un ataque cibernético”, se advierte en el documento.

5 views

Suscríbete a nuestro Newsletter

  • White Facebook Icon