Apenas unos días después de la amenaza de subir información de Pemex obtenida por el ciberataque de noviembre, la gente detrás del ransomware DopplePaymer han comenzado a subir supuestas bases de datos, conforme lo habían anticipado a Bleeping Computer.

Hiram Alejandro Camarillo, cofundador de la empresa de seguridad cibernética seekurity, y director de información de seguridad y privacidad de la empresa, ha tenido acceso a 11 archivos que se han subido públicamente a internet. Se trata de archivos en formato 7zip que contienen a su vez archivos en .exe, PDF, DOC, DOCX, y XML, según los 40 archivos que Camarillo ha podido consultar. Los datos contienen direcciones IP, contraseñas y hasta diagramas de red de Pemex.

En el peor de los casos, si la información es verídica, a los equipos se podría acceder vía remota.

Ya está disponible públicamente la información robada a @Pemex

Algunos archivos están libres de malware

Hay archivos con direcciones IPs, contraseñas de accesos a los equipos (p. ej. password) , SO, usuarios, etc.

Dicen tener info de 186,143 equipos pic.twitter.com/jJLoA8au5k — Hiram Alejandro (@hiramcoop) February 27, 2020

En Xataka México hemos confirmado que los archivos están en línea. Se trata de 11 archivos comprimidos que pesan en total poco menos de 3GB. A pregunta expresa sobre las posibilidades de que la información sea verídica, Camarillo asegura que sí: "tienen mucha información interna de Pemex, tienen diagramas, direcciones IP, (...) tienen incluso los nombres de los equipos (...) el controlador de dominio muestra que son de Pemex".

A la par de los archivos se han subido información de cada uno de los equipos que se han afectado. Quienes están tras Dopple Leaks aseguran que se trata de 186,143 computadoras.

Información reservada por cinco años

Pemex ha negado entrevistas desde que Bleeping Computer reportó que la gente detrás de DoppelPaymer subiría la información obtenida a través del ciberataque de noviembre. Incluso, Excelsior retoma que todo lo relacionado con el ciberataque ha sido reservado por cinco años.

En su momento, la paraestatal y el presidente aseguraron que "no fue tan grave".

"Hice una revisión del dominio, el dominio fue dada de alta el 24 de febrero (...) el sitio está detrás de Cloudfare para que no podamos identificar la dirección IP real del servidor" Hiram Alejandro Caramillo

Esta podría ser apenas la primera entrega de información. En el sitio en que fueron subidos los archivos, a la información le acompaña la leyenda "aquí empezamos, estén atentos, más información llegará".