Ciudad de México.- La Auditoría Superior de la Federación (ASF) halló irregularidades en obras y ciberseguridad de Petróleos Mexicanos (Pemex), tras el ciberataque de hace un año, y en el desempeño de la Comisión Federal de Electricidad (CFE), incluyendo un pago adicional de más de 6 mil millones de pesos por la renegociación de contratos de gasoductos con firmas privadas en la Cuenta Pública 2019, ya correspondiente al primer año de Gobierno de Andrés Manuel López Obrador.
Esta Administración federal apuesta a “rescatar” estas empresas públicas mediante una política energética calificada por especialistas como retrógrada en materia ambiental, tras la Reforma Energética del peñismo que abrió la puerta a la iniciativa privada.
La CFE, si bien en 2019 cumplió con la meta establecida de porcentaje de energía eléctrica generada por medio de renovables y el indicador de emisión de gases de efecto invernadero se encontró dentro del límite, en su plan de 2019 a 2024 carece de objetivos, metas, estrategias y líneas de acción orientadas al cumplimiento de la meta 7.2 de la Agenda 2030 [aumentar considerablemente la proporción de energía renovable en el conjunto de fuentes energéticas], ni acreditó su coordinación con la Secretaría de Energía (Sener) en este rubro, observó el órgano.
Respecto a Pemex Corporativo, el 10 de noviembre de 2019 fue blanco de un ciberataque con un malware (ransomware) que infectó la plataforma de servidores Windows y posteriormente a los equipos de trabajadores, el cual “secuestró” información a cambio de un pago en bitcoins (5 millones de dólares) por el rescate. Frente a la opacidad de la petrolera que minimizó los hechos, analistas en ciberseguridad señalaron en su momento deficiencias antes y después del incidente que el órgano autónomo fiscalizador ha comprobado: algunos equipos y servidores no estaban protegidos contra software maliciosos ni amenazas de pérdida de datos que comprometieran el negocio, se detectaron actualizaciones de seguridad no instaladas y de los 56 mil 393 equipos de cómputo, 11 mil 054 fueron afectados, es decir, 19.6 por ciento y no el 5 por ciento que reportó en un breve comunicado.
Hasta después del daño a la compañía dirigida por Octavio Romero Oropeza, comenzaron las campañas de comunicación relacionadas con temas de ciberseguridad y se generan eventos de formación (e-learning), pero siguieron deficiencias en actualizaciones de parches y antivirus, y Pemex sigue sin comprobar si realiza pruebas de penetración para la identificación de vulnerabilidades a ciberataques.
Por haber causado “la pérdida de activos de información” en los servidores y equipos de usuario final, así como la interrupción de los procesos de negocio de la empresa, la Auditoría pidió a la Unidad de Responsabilidades en Pemex investigar, y en su caso sancionar, las irregularidades de los servidores públicos que omitieron actualizar e instalar los parches de los servidores y no migraron las plataformas de las cuales los fabricantes habían anunciado la terminación del soporte ampliado, lo cual “contribuyó” para que los sistemas hayan sido vulnerados.
Esto te puedeinteresar
También solicitó indagar las irregularidades de los servidores públicos que descartaron atender la recomendación emitida en la auditoría 449-DE, porque las fallas siguieron en los controles de ciberseguridad respecto al ejercicio 2018: no se registran avances en el inventario de software autorizado y no autorizado, en las configuraciones seguras para hardware y software en los dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores, en la aplicación de software de seguridad, así como en las pruebas de penetración y ejercicios de equipo rojo; lo que “aumenta el riesgo de un incidente de seguridad informática que podría ocasionar un impacto negativo en los activos de información y procesos de negocio de la empresa”.
Hasta ahora se sabe de manera oficial que hace un año, por esta serie de omisiones, fueron afectados mil 182 servidores Windows de los cuales 203 (17.2 por ciento), en pleno 2019, tenían instalado el sistema operativo Windows 2003; 703 (59.5 por ciento), Windows 2008; 216 (18.3 por ciento), Windows 2012 y solo 60 (5.0 por ciento) Windows 2016. Asimismo, se identificó que mil 138 (96.3 por ciento) de los servidores afectados corresponden al ambiente productivo.
De los 56 mil 393 equipos de cómputo de Pemex, 11 mil 054 (19.6 por ciento) fueron los atacados. De ellos, se identificó que 9 mil 242 (83.6 por ciento) contaban con el agente ATP (Protección Avanzada contra Amenazas) y mil 812 (16.4 por ciento) no lo tenían; y 8 mil 021 (72.6 por ciento) tenían instalado el agente DLP (Prevención de Pérdida de Datos), pero no así 3 mil 033 (27.4 por ciento).
Tras el ciberataque, documenta la Auditoría, la Gerencia de Seguridad de la Información solicitó el apoyo del Centro de Operaciones de Seguridad (SOC). Pero no se tiene evidencia de que la notificación del incidente y la comunicación a directores se realizó conforme al “Proceso Gestión de Incidentes de Seguridad de la Información”. Algunas de las acciones de contención fueron el cambio de contraseñas de las cuentas de administrador; cortar la salida a internet de las redes de servidores con afectación; instalar el agente de seguridad en los servidores Windows; y ejecutar el escaneo de antivirus en los equipos y servidores afectados.
Dentro de las aplicaciones afectadas se encuentran la Configuración dinámica de equipos (DHCP); Gestión documental y trabajo en equipo (SharePoint); Infraestructura de datos (PI); Sistema integral de información comercial (SIIC); Respaldos históricos de usuarios; Controlador de dominio; Sistema de posicionamiento (SIPOA); ERP Tesorería; ERP SIIF (Sistema integral de información financiera); CITRIX; Nómina y SCCM, entre otras; cabe señalar que algunas de estas aplicaciones soportan los procesos de negocio de la Empresa.
Del universo de 11 mil equipos afectados, se identificó en la muestra auditada que 43 (86 por ciento) ya tenían instalada y actualizada una solución de antivirus, dos (4 por ciento) todavía no contaban con el antivirus actualizado y en cinco (10 por ciento) no fue posible validarlos. Se detectó que 34 equipos (68 por ciento) contaban con la instalación de parches actualizados, 12 (24 por ciento) aún no estaban actualizados y en cuatro (8 por ciento) no fue posible validarlos.
La Auditoría Superior de la Federación realizó una auditoría de desempeño de la Comisión Federal de Electricidad (CFE), titulada por Manuel Bartlett Díaz, sobre gobernanza corporativa, finanzas, generación, transmisión, distribución y suministro de electricidad, la renegociación de gasoductos con la iniciativa privada, proyectos de inversión, combate a la corrupción y sobre la Agenda 2030 para el Desarrollo Sostenible.
“Resulta necesario que la empresa establezca medidas que le permitan mejorar su eficiencia financiera y operativa, con objeto de continuar cumpliendo con su función social y reducir las tarifas al usuario final, a la par de avanzar en la rentabilidad y generación de valor económico”, dijo la ASF.
La empresa no actualizó su Plan de Negocios; generó utilidades, pero no fueron suficientes y sus resultados financieros aún no son óptimos para considerarse una empresa con solidez financiera; y no cumplió la meta de generación por fallas en las centrales, el aumento en los precios y reducción de combustibles, el retraso en la operación comercial de algunas centrales y los trabajos de mantenimiento que no cumplieron con los tiempos programados. Además, la energía de 56 centrales se vendió a precios inferiores a los costos de generación, lo que representó pérdidas por 61 mil 477 millones de pesos.
En 2019, evocó la Auditoría, la CFE anunció la renegociación de siete contratos de gasoductos: Sur de Texas-Tuxpan, Villa de Reyes-Aguascalientes-Guadalajara, La Laguna-Aguascalientes, Tula-Villa de Reyes, Samalayuca-Sásabe, Tuxpan-Tula y Guaymas-El Oro. Al cierre de 2019 y al primer semestre de 2020 no se concluyeron las renegociaciones con las empresas responsables de construir los gasoductos Tula-Villa de Reyes y Tuxpan-Tula.
“La renegociación de cinco gasoductos que consistió en una nivelación de tarifas fijas resultó en un ahorro nominal para la CFE, hasta el año 25, de 4 mil 342 millones de dólares, y del año 26 al 35 la CFE pagará por concepto de cargo fijo 11 mil 178 millones de pesos, 157.4 por ciento al ahorro que tendría hasta el año 25, lo que indica que al final del término de los contratos pagará 6 mil 836 millones de pesos adicionales a los estipulados antes de la renegociación de los gasoductos”, concluyó la ASF.
Asimismo, fiscalizó los recursos ejercidos para el mantenimiento y adquisición de refacciones para las Unidades Generadoras Termoeléctricas, Turbo Gas Convencional y de Ciclo Combinado de la CFE, y observó irregularidades en el proceso de contratación.
En 2019, la CFE Generación I ejerció 3 mil 127 millones de pesos para mantenimiento de Centrales Generadoras de Energía Eléctrica en las 42 centrales a su cargo, de los cuales 335 millones 542 mil pesos correspondieron a las centrales Hidroeléctricas (10.7 por ciento) y 2 mil 791 millones de pesos (89.3 por ciento), a las centrales Termoeléctricas, Turbo Gas, de Combustión Interna y de Ciclo Combinado. Dentro de este tipo de centrales, las que ejercieron mayor presupuesto fueron la Central Termoeléctrica Francisco Pérez Ríos, la Central de Ciclo Combinado El Sauz, la Central de Combustión Interna Baja California Sur y la Central Turbo Gas Nonoalco.
En cuatro procesos, por 10 millones 442 mil pesos, las fechas de las actas de Fallo y de Presentación y Apertura de Ofertas difieren de la establecida en los pliegos de requisitos de los procedimientos de adjudicación, “sin justificación”. Del Concurso Abierto DPIF/001/2013, por el cual pagaron 111 millones 768 mil pesos, no se proporcionó la justificación de la Excepción a la Licitación Pública ni el Dictamen de Autorización.
En 14 procesos, por 65 millones 772 mil pesos, se presentaron “incongruencias” de los datos señalados en las actas de Presentación y Apertura de Ofertas Técnicas, de Resultado Técnico y Apertura de Ofertas Económicas, y de Fallo, de las partidas y la evaluación de las ofertas de los proveedores; del número de procedimiento adjudicado; de la fecha de los documentos; del procedimiento adjudicado; de los importes adjudicados y del nombre correcto del proveedor ganador conforme a las partidas adjudicadas. En cinco contratos, por 15 millones 498 mil pesos, las actas de entrega-recepción se elaboraron entre cinco a 47 días después de la prestación del servicio.
