Lo que Pemex debe aprender del ataque cibernético
Ana Lilia Moreno (@analiliamoreno) | Animal Político
El domingo 10 de noviembre los mexicanos fuimos sorprendidos con la noticia de un ciberataque a Pemex de alta intensidad. Doupplepaymer es el nombre del ransomware o software malicioso que presuntamente infectó cerca de 3 mil computadoras de la empresa, inutilizando su red interna y servicio de internet a cambio de un rescate solicitado por los ciberdelincuentes de 565 bitcoins, lo equivalente a 5 millones de dólares. Una agresión de estas características siempre es noticia y mantiene al público a la expectativa, máxime tratándose de la empresa más importante del país. Sin embargo, el mayor escándalo alrededor de este suceso provino de la manera en que los responsables manejaron la crisis de cara a la ciudadanía. La pasividad que ante el episodio mostró el principal órgano de gobierno de Pemex es acaso lo más preocupante.
El 11 de noviembre, a 24 horas de comenzado el ataque, Pemex publicó un boletín de prensa minimizando el suceso y señalando que operaba con normalidad. No obstante, la crisis aumentó a raíz de una ola de desinformación que desató especulaciones alimentadas por filtraciones de empleados alarmados, y por el encadenamiento de mensajes contradictorios por parte de diversos funcionarios: el 13 de noviembre, el presidente López Obrador aceptó públicamente la existencia del ciberataque, pero matizó el siniestro como “nada grave”. En sentido contrario, Rocío Nahle, secretaria de Energía y presidenta del Consejo de Administración de Pemex, reconoció la existencia de brechas de ciberseguridad, aseguró que Pemex no pagaría el rescate y que el problema se resolvería en un día. Por su parte, Alfonso Durazo, secretario de Seguridad y Protección Ciudadana, expresó que “el ciberataque estaba totalmente controlado y sin consecuencias”, y que la Fiscalía General de la República haría investigaciones. No faltó el secretario de Hacienda, Arturo Herrera, también consejero de Pemex, quien declaró que el “hackeo no había implicado robo de información confidencial de la empresa”.
Mientras tanto, en la industria, diversos gremios y contratistas alertaban a sus clientes sobre alteraciones en sus operaciones de comercialización. Hay que decir que, si bien no hubo afectación en el abasto de combustibles durante esos días, es un hecho comprobable que las transacciones se dilataron por tener que realizarse manualmente, un hecho insólito en una industria altamente digitalizada. Asimismo, se supo que el ciberataque afectó las operaciones de la refinería de Tula, Hidalgo, y que la red de hospitales de Pemex también fue en ciertos momentos perjudicada. Incluso, el 11 de diciembre la Secretaría de Energía admitió que el ataque sí afectó su información institucional, a tal grado que al 18 de diciembre, Pemex no ha logrado hacer accesible al público su información estadística, cuestión fundamental para dar certidumbre a los mercados financieros. Es alarmante que a más de un mes del siniestro no hay tampoco información pública oficial que dé cuenta de los hechos, las consecuencias, los costos y las medidas preventivas que se tomarán.
Sector energético, el blanco perfecto
De acuerdo con un estudio de la Universidad de Maryland, cada 39 segundos en promedio se presenta un ciberataque y 54% de las empresas han revelado haber sido víctimas en los últimos 12 meses de agresiones sofisticadas y costosas que pueden llegar a comprometer las operaciones hasta paralizarlas. Paradójicamente, las empresas en el mundo no están del todo preparadas para enfrentar esta amenaza. Accenture, por ejemplo, ha cuantificado un crecimiento mundial de 67% en las brechas o vulnerabilidades de ciberseguridad en las organizaciones. También se ha calculado que aproximadamente 77% de las organizaciones carecen de un plan de contingencia apropiado para enfrentar crisis por ciberataques.
En el sector energético, las operaciones de las petroleras dependen en gran medida de sus sistemas informáticos. De hecho, este sector es pionero en la Industria 4.0 –que comprende e-commerce, Big data, Internet de las Cosas e Inteligencia Artificial–, por lo que es también una de las industrias más vulnerables en materia de ciberriesgos como lo muestra la lista mundial de ciberataques significativos anuales. En 2019, por ejemplo, hackers iraníes atacaron a miles de computadoras en más de 200 compañías de petróleo y gas del mundo, robando secretos corporativos y secuestrando datos, muchos de ellos irrecuperables.
Ciberseguridad: responsabilidad del Consejo de Administración
Es pertinente recordar que el Consejo de Administración, entre las diversas funciones de gobierno corporativo, es el encargado de asegurar que la administración de la empresa identifique, evalúe y administre adecuadamente los riesgos relevantes del negocio.
Llama la atención que durante el reciente ciberataque a Pemex, a excepción de las inexactas declaraciones de Nahle y Herrera, se observó pasividad por parte del Consejo de Administración. Si el órgano se reunió de emergencia o dictó instrucciones, no lo sabemos; a la fecha, no hay actas o acuerdos públicos que lo confirmen. Lo que sí sabemos es que ante tanto hermetismo y opacidad se abrieron muchas preguntas que aún quedan pendientes de respuesta sobre el diagnóstico del ciberataque y las medidas que se tomaron al respecto.
¿Cómo podría haber actuado el Consejo de Pemex? De acuerdo con Kaspersky Lab, una de las firmas más relevantes en la materia, en la industria prevalece un malentendido sobre aspectos específicos de las ciberamenazas y por ello, los altos directivos suelen elegir opciones inadecuadas de protección. Según expertos en gobierno corporativo y ciberseguridad, cuatro elementos básicos pueden servir de guía para que un Consejo de Administración diseñe una política de contingencia:
- Establecer una cadena de responsabilidad para definir quién debe hacerse cargo de diversas funciones ante una situación crítica.
- Establecer un equipo interdisciplinario de especialistas en crisis que incluyan abogados , profesionales en comunicación y especialistas cibernéticos para obtener diagnósticos precisos y oportunos, rutas para la contención del problema y medidas para evitar que suceda de nuevo.
- Asegurar que la empresa tenga contratadas las protecciones tecnológicas necesarias, incluidos seguros cuyas coberturas abarquen las brechas cibernéticas actualizadas.
- Establecer una política que incluya protocolos por área y programas de capacitación al personal que maneja computadoras dentro de la empresa.
A la luz de estos cuatro elementos, y en un contexto de adaptación global a un riesgo desafiante que se incrementa exponencialmente, es posible valorar, con un afán constructivo, los yerros que se cometieron durante el ciberataque a Pemex. La confusión como efecto de numerosos voceros y mensajes contradictorios, la especulación como resultado de filtraciones de empleados, la falta de datos duros respecto de la dimensión y efectos del problema, y la ausencia de información sobre los procesos de toma de decisiones del Consejo de Administración, revelan que a Pemex le urge que su principal órgano de gobierno revise el mapa de riesgos de la empresa, y diseñe políticas sólidas y actuales para manejarlos.
Ante el nuevo panorama de ciberataques, las empresas ya no pueden ser ajenas a esta realidad y deben actuar a velocidades más altas, máxime cuando se presentan crisis. Por ello, la secretaria Nahle, como presidenta del Consejo de Administración, y todos los consejeros, deben primeramente ser conscientes de la gravedad del asunto, poner los medios para atajar y prevenir las vulnerabilidades, y realizar un impecable ejercicio de transparencia y rendición de cuentas ante todos los ciudadanos. Bien reza el dicho: no malgaste un buen error, mejor aprenda de él.