Análisis de un ciberataque y su impacto empresarial: Caso de Pemex (2019)

INTEGRANTES DEL EQUIPO:

López López Josue Emmanuel (182078)
Mata Martinez Aaron Efraim (179419)
Rodriguez Hernandez Edgar Omar (177888)
Rodriguez Morin Estefano Alessandro (178584)
Ros Padilla Ivan (177573)
Salinas Carrillo Mauricio Josafat (177406)

Fecha: 30 de enero de 2026
Tipo de documento: Reporte académico

Introducción Contextual

El presente informe tiene como objetivo analizar de manera forense, técnica y estratégica el ciberataque sufrido por Petróleos Mexicanos (Pemex) en noviembre de 2019. Este incidente es un caso paradigmático de la tendencia criminal conocida como "Big Game Hunting", donde actores de amenazas avanzadas dirigen sus ataques hacia infraestructuras críticas con alta capacidad de pago.

El ataque fue ejecutado mediante el ransomware DoppelPaymer, atribuido al grupo criminal INDRIK SPIDER. El incidente comprometió más de 11,000 activos informáticos, paralizó sistemas administrativos y de facturación, y expuso severas deficiencias en la arquitectura de seguridad de la paraestatal, incluyendo una profunda "deuda técnica".

Fase 1. Investigación y Documentación: Línea de Tiempo del Ataque

Periodo / Fecha	Fase del Ataque (Kill Chain)	Hechos Clave y Descripción del Evento	Vulnerabilidades Iniciales y Vectores Explotados
Antecedentes (2015 - 2019)	Vulnerabilidad Sistémica	Obsolescencia tecnológica crítica; servidores operando con sistemas fuera de soporte (End-of-Life) desde 2015.	Sistemas Legacy: Uso de Windows Server 2003 y Windows 7 sin actualizaciones de seguridad.
Marzo - Abril 2019	Reconnaissance	Microsoft publica parches para una falla crítica en SharePoint; Pemex omite la instalación por más de 6 meses.	CVE-2019-0604: Vulnerabilidad de Ejecución Remota de Código (RCE) en SharePoint.
Sept. - Oct. 2019	Acceso Inicial	El grupo INDRIK SPIDER penetra la red corporativa mediante explotación web o Spearphishing.	Defensa Perimetral Débil: Servidores expuestos sin segmentación adecuada (DMZ).
Oct. - Inicios Nov. 2019	Persistencia y Movimiento Lateral	Los atacantes realizan reconocimiento usando Mimikatz y Cobalt Strike para escalar privilegios a Administrador de Dominio.	Falta de Visibilidad (EDR): El 16.4% de equipos carecía de protección avanzada (ATP).
10 de Nov. 2019 (Domingo)	Ejecución e Impacto (Detonación)	Se despliega el ransomware DoppelPaymer masivamente, cifrando información con algoritmos AES-256+ RSA-2048.	Falla en Segmentación: La red plana permitió que el malware se distribuyera rápidamente.
11 de Nov. 2019	Descubrimiento y Respuesta	Nota de rescate exigiendo 565 Bitcoins (~4.9 MDD). Pemex ordena desconectar la red manualmente ("botonazo").	Incapacidad de Respuesta: Falta de herramientas de orquestación obligó a una desconexión manual total.
Noviembre 2019 (Post-Ataque)	Consecuencias Operativas	Colapso de sistemas de facturación y logística; se recurre a procesos manuales para despacho de combustible.	Dependencia IT/OT: Falta de planes de continuidad de negocio (BCP) efectivos.

Fase 2. Análisis Técnico, Impacto Económico y Estratégico

Contexto General del Ataque

Antes del impacto, la situación tecnológica de la paraestatal presentaba grietas profundas:

Sistemas Operativos: Uso masivo de Windows 7 y Server 2003 (sin soporte), facilitando exploits antiguos.
Protección Endpoint: 16.4% de los equipos carecían de antivirus avanzado (ATP).
Segmentación de Red: Red plana que permitió que el virus se propagara de IT a Logística rápidamente.

El éxito de los atacantes se debió a tres factores críticos: la falla técnica (parche olvidado del CVE-2019-0604), la falla humana (posible Spearphishing) y la falla política (vulnerabilidad presupuestal y falta de prioridad estratégica).

Tabla Técnica del Ataque

Elemento	Descripción
Tipo de ataque	Ransomware "Big Game Hunting" y Doble Extorsión.
Actor o grupo	Grupo criminal INDRIK SPIDER.
Vulnerabilidad	CVE-2019-0604: Ejecución Remota de Código (RCE) en SharePoint.
Sistemas comprometidos	Más de 11,000 activos, incluyendo servidores, sistemas administrativos y de facturación.
Mecanismos de respuesta	Respuesta Manual: Desconexión total de la red ("botonazo").

Evaluación del Impacto (Modelo CIA)

Principio	Descripción del Impacto	Evidencia del caso
Confidencialidad	Exposición de información y documentos confidenciales.	Amenaza pública de publicar datos en la Deep Web.
Integridad	Base de datos principal vulnerada y cifrado de archivos.	Comunicado oficial de PEMEX (12/nov/2019) admitiendo el ataque.
Disponibilidad	Inmovilización de terminales de distribución y logística.	Sistemas logísticos y terminales de despacho paralizados.

Cálculo de Costos del Ciberataque

Tipo de Costo	Descripción	Estimación (MXN 2019)
Pérdidas operativas	Días de inactividad, ineficiencia logística y ventas no realizadas.	$804.74M - $1,149.62M
Daños reputacionales	Comunicación de crisis, pérdida de confianza y de contratos.	$517.31M - $574.79M
Costos técnicos/legales	Recuperación, consultoría, licencias y auditorías.	$1,152.18M - $1,353.38M
Rescate solicitado	Monto solicitado por el ransomware (565 Bitcoins).	$93.23M
Total Estimado	Suma total proyectada en pesos mexicanos.	$2,567.46M - $3,170.98M

Nota: Al valor actual del Bitcoin (febrero 2026), el rescate de 565 BTC equivaldría a ~$805.95 millones de pesos.

Relación con Marcos Normativos

ISO 27001 - Controles Clave

A.12.2.1 Controles ante código malicioso: Si se hubiera implementado, el malware se habría detectado antes de ejecutarse.
A.12.3.1 Gestión de respaldos: Respaldos aislados habrían permitido restaurar sistemas sin pagar rescate.
A.9 Control de acceso: El principio de menor privilegio y MFA habrían dificultado el movimiento lateral.

NIST Cybersecurity Framework (CSF)

Identify (ID): Falló en el inventario de activos y evaluación de vulnerabilidades críticas.
Protect (PR): La falta de segmentación de red permitió la propagación del ransomware.
Respond (RS): La ausencia de planes ensayados obligó a acciones manuales desesperadas.

Conclusiones

Deuda Técnica: El ataque no fue fortuito, sino el resultado de años de obsolescencia y omisión de parches.
Ciberseguridad como Inversión: Las pérdidas por interrupción logística superaron ampliamente cualquier inversión preventiva necesaria.
Resiliencia Automatizada: El "botonazo" reflejó la ausencia de planes de respuesta; la resiliencia debe ser parte integral de la arquitectura de red.
Gobernanza: La principal vulnerabilidad fue la falta de una cultura de gestión de riesgos basada en marcos internacionales como ISO y NIST.

Reflexión y Casos de Uso

Reflexión Personal

El análisis del caso Pemex evidencia que la ciberseguridad no es solo un problema técnico, sino un desafío de gobernanza. La deuda técnica (sistemas obsoletos) actúa como una "bomba de tiempo"; ignorar parches críticos por meses es una negligencia que magnifica exponencialmente el riesgo. Además, la respuesta de "desconectar todo" demuestra que la continuidad del negocio no estaba garantizada. La lección principal es que la inversión preventiva siempre será menor que el costo de recuperación.

Casos de Uso Aplicables

Gestión de Vulnerabilidades

Implementación de escaneos periódicos y políticas de parches (Patch Management) para cerrar brechas conocidas (como CVEs) antes de que sean explotadas.

Planes de Recuperación (DRP)

Diseño de estrategias de respaldo inmutable y simulacros de recuperación para garantizar que la operación pueda restaurarse sin pagar rescates.

Segmentación de Red

Separación lógica de redes críticas (IT vs OT vs Administrativa) para evitar que un ransomware en una PC de oficina paralice la operación logística.

Referencias

NIST (2022). Ransomware Risk Management: A Cybersecurity Framework Profile (Spanish translation).
Regulation (EU) 2016/679 (GDPR), Art. 32: Security of processing.
ISO/IEC 27001 (2022). Information security management systems Requirements.
INCIBE-CERT (2019). La petrolera PEMEX sufrió un ciberataque de ransomware.
ZEPO (2023). Ciberataque a Pemex: lecciones sobre la protección de datos en una era digital.