Background
Panel Administrativo

Martinez Lara Santiago de la cruz

aka Lara
Universidad Politécnica de San Luis Potosí
CNO V - Seguridad Informática9° Semestre

Proposito

El propósito de esta página es servir como un portafolio digital que documenta mi aprendizaje y progreso en el campo de la seguridad informática. A través de este sitio, comparto mis proyectos, experiencias y conocimientos adquiridos durante mi formación académica y práctica en este ámbito.

Enfoque

El enfoque principal de este portafolio está en la seguridad informática, incluyendo áreas como pruebas de penetración y análisis de vulnerabilidades. A través de mis proyectos y experiencias documentadas aquí, demuestro mi capacidad para identificar y mitigar riesgos de seguridad en sistemas informáticos, así como mi compromiso con las mejores prácticas en ciberseguridad.

Importancia

Este portafolio no solo muestra mis habilidades y conocimientos, sino que también sirve como evidencia tangible de mi proceso de aprendizaje y desarrollo profesional en el campo de la seguridad informática.

Contenido

Unidad 1Unidad 2Unidad 3ProyectosRoad to Hall of Fame

Unidad 1

1

A01 - Análisis de un ciberataque

Febrero 2026, Equipo 4

Integrantes:

MatriculaNombre
177685Martinez Lara Santiago de la cruz
179033Alonso Castillo Omar Karim
177622Cruz Juárez Francisco Javier
175031Espinoza Aguilar Brian Salvador
173030Sánchez Ramirez Mayeli
177263Sánchez Zavala Alan Gilberto

Introducción

El 10 de noviembre de 2019, Petróleos Mexicanos (Pemex) fue víctima de un ataque de ransomware de escala nacional. El incidente, protagonizado por el grupo criminal Indrik Spider mediante la variante DoppelPaymer, paralizó sistemas administrativos, financieros y de logística. Este informe analiza de manera técnica, económica y estratégica el evento, subrayando que la falta de gestión de vulnerabilidades y el uso de sistemas legados fueron los catalizadores de una crisis que afectó la distribución de combustibles y la integridad de datos estratégicos de la nación.

Este informe analiza de manera técnica, económica y estratégica el evento, subrayando que la falta de gestión de vulnerabilidades y el uso de sistemas legados fueron los catalizadores de una crisis que afectó la distribución de combustibles y la integridad de datos estratégicos de la nación.

Desarrollo

Fase 1: Investigación y Documentación del Análisis de Actores y Herramientas

El ataque no fue una infección aleatoria, sino una operación de "Big Game Hunting" ejecutada por el grupo criminal Indrik Spider.

  • El Malvare: Se utilizó DoppelPaymer, una evolución del ransomware BitPaymer. Ejecución de hilos en paralelo para cifrado de alta velocidad.
  • Técnicas MITRE ATT&CK:
    • (T1566) Phishing: Vector inicial Dridex.
    • (T1021) Servicios Remotos: RDP y SMB para movimiento lateral.
    • (T1490) Inhibición de Recuperación: Eliminación automática de Shadow Copies.

Vulnerabilidades Iniciales

La superficie de ataque crítica se debió a tres factores:

  1. CVE-2017-0144 (EternalBlue): Protocolo SMBv1 activo en la red interna.
  2. CVE-2019-19781 (Citrix): Gateways desactualizados permitiendo RCE.
  3. Obsolescencia: Servidores Windows Server 2003/2008 en operación (End-of-Life).

Línea del Tiempo del Ataque

FECHA / FASEHITO CLAVEDESCRIPCIÓN TÉCNICA
Sept - Oct 2019Infiltración SilenciosaLos atacantes logran acceso inicial. Reconocimiento pasivo para identificar servidores de facturación y SAP críticos.
01 - 08 Nov 2019Movimiento LateralIndrik Spider utiliza herramientas como Mimikatz para extraer credenciales. Compromiso de cuentas de Administrador de Dominio.
09 Nov 2019Exfiltración de DatosRobo de 6.4 GB de información (contratos, correos) antes del cifrado. Fase de "Doble Extorsión".
10 Nov 2019 (08 AM)Detonación del CifradoEjecución masiva del ransomware. Bloqueo en centros de cómputo en CDMX, Tabasco y Edomex. Demanda de 565 BTC.
11 - 12 Nov 2019Respuesta de EmergenciaPemex apaga su red nacional. Instrucción de no encender equipos. Gobierno declara que no pagará rescate.
13 - 15 Nov 2019Impacto OperativoParálisis en Terminales de Almacenamiento (TAD). Facturación manual de pipas (papel y pluma), retrasando suministros.
30 Nov 2019Filtración Dark WebAl vencer el plazo, los atacantes publican los datos robados en el portal "Dopple Leaks".

Fase 2: Análisis de Impacto

Factores que facilitaron el ataque

FACTORDESCRIPCIÓN DE LA FALLAEVIDENCIA
Falla TécnicaGestión de Vulnerabilidades nula. EternalBlue sin parchear.Propagación lateral vía SMBv1.
Falla HumanaIngeniería Social (Phishing).Acceso inicial por ejecución de troyano.
Falla PolíticaRecortes presupuestales en TI y falta de mantenimiento.ASF confirmó falta de inversión preventiva.

Tabla Técnica del Ataque (Resumen Forense)

ELEMENTODESCRIPCIÓN
Tipo de ataqueRansomware (variante DoppelPaymer).
ActorIndrik Spider.
VectoresPhishing, RDP, SMB (EternalBlue).
Impacto MITRET1486 (Data Encrypted for Impact).

Impacto CIA

  • Confidencialidad (CRÍTICA): Filtración de secretos comerciales en Dark Web.
  • Integridad (ALTA): Cifrado irreversible de archivos y bases de datos.
  • Disponibilidad (MUY ALTA): Parálisis operativa por >10 días.

Análisis Económico

Costo del Rescate Solicitado: 565 BTC (~$94,374,000 MXN).

Estimación del Costo Total del Incidente

TIPO DE COSTODESCRIPCIÓNESTIMACIÓN (MXN)
Pérdidas operativasInactividad y procesos manuales.$500,000,000
Costos técnicosRespuesta, limpieza y nuevos licenciamientos.$150,000,000
Daños legalesAuditorías y multas.$25,000,000
TOTAL ESTIMADOSuma de impactos.$675,000,000

Reflexión Grupal

Analizando este caso, consideramos que el incidente de PEMEX no fue un error aislado, sino una consecuencia sistémica de la deuda técnica. Es sorprendente que una organización de tal magnitud dependiera de sistemas operativos obsoletos (Windows 2008) en 2019.

Desde nuestra perspectiva como futuros ingenieros en seguridad, este caso nos enseña que la tecnología más costosa (Firewalls, IDS) es inútil si no se tiene una cultura básica de higiene digital (parches) y concientización humana contra el phishing.

Conclusión y Lecciones

El ciberataque a PEMEX demostró que la ciberseguridad es un asunto de Seguridad Nacional. El costo de recuperación ($675M) superó por mucho el costo que hubiera tenido mantener la infraestructura actualizada.

Lección Clave: La prevención no es un gasto, es una inversión estratégica. Se requiere implementar arquitecturas Zero Trust y políticas de respaldo inmutables.

Referencias

Siguiente capítuloA02 - ANÁLISIS DE SERVICIOS DE SEGURIDAD

Capitulos

Tabla de Contenidos