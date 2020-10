Pemex y CFE, grandes apuestas de AMLO, fallan en ciberseguridad, producción y desempeño, dice ASF

Las empresas públicas Pemex y CFE, la gran apuesta energética del Gobierno federal, registraron fallas en ciberseguridad, producción y desempeño en el primer año de la Presidencia de Andrés Manuel López Obrador, detectó la Auditoría Superior de la Federación

Sinembargo.MX

MÉXICO._ En la Cuenta Pública 2019, ya correspondiente al primer año de Gobierno de Andrés Manuel López Obrador, la Auditoría Superior de la Federación (ASF) halló irregularidades en obras y ciberseguridad de Petróleos Mexicanos (Pemex), tras el ciberataque de hace un año, y en el desempeño de la Comisión Federal de Electricidad (CFE), incluyendo un pago adicional de más de 6 mil millones de pesos por la renegociación de contratos de gasoductos con firmas privadas.

Esta Administración federal apuesta a “rescatar” estas empresas públicas mediante una política energética calificada por especialistas como retrógrada en materia ambiental, tras la Reforma Energética del peñismo que abrió la puerta a la iniciativa privada.

La CFE, si bien en 2019 cumplió con la meta establecida de porcentaje de energía eléctrica generada por medio de renovables y el indicador de emisión de gases de efecto invernadero se encontró dentro del límite, en su plan de 2019 a 2024 carece de objetivos, metas, estrategias y líneas de acción orientadas al cumplimiento de la meta 7.2 de la Agenda 2030 [aumentar considerablemente la proporción de energía renovable en el conjunto de fuentes energéticas], ni acreditó su coordinación con la Secretaría de Energía (Sener) en este rubro, observó el órgano.

Respecto a Pemex Corporativo, el 10 de noviembre de 2019 fue blanco de un ciberataque con un malware (ransomware) que infectó la plataforma de servidores Windows y posteriormente a los equipos de trabajadores, el cual “secuestró” información a cambio de un pago en bitcoins (5 millones de dólares) por el rescate. Frente a la opacidad de la petrolera que minimizó los hechos, analistas en ciberseguridad señalaron en su momento deficiencias antes y después del incidente que el órgano autónomo fiscalizador ha comprobado: algunos equipos y servidores no estaban protegidos contra software maliciosos ni amenazas de pérdida de datos que comprometieran el negocio, se detectaron actualizaciones de seguridad no instaladas y de los 56 mil 393 equipos de cómputo, 11 mil 054 fueron afectados, es decir, 19.6 por ciento y no el 5 por ciento que reportó en un breve comunicado.

El negocio de Pemex se vio comprometido por el ciberataque que sufrió el año pasado. Foto: Pemex.

Hasta después del daño a la compañía dirigida por Octavio Romero Oropeza, comenzaron las campañas de comunicación relacionadas con temas de ciberseguridad y se generan eventos de formación (e-learning), pero siguieron deficiencias en actualizaciones de parches y antivirus, y Pemex sigue sin comprobar si realiza pruebas de penetración para la identificación de vulnerabilidades a ciberataques.

“La vulnerabilidad al ataque de un servidor Microsoft SharePoint que estaba expuesto a la web fue clasificada como crítica por el fabricante, por lo que liberó actualizaciones de seguridad 2010, 2013, 2016 y 2019, las cuales fueron publicadas el 12 de marzo y el 25 de abril de 2019. Sin embargo, las actualizaciones no fueron instaladas en los servidores de Pemex antes del ataque, aun cuando habían pasado más de seis meses de su publicación”, observó la ASF. “No se cuenta con soporte documental que justifique la razón de no haber instalado los parches de seguridad, por lo tanto, se tuvo la oportunidad de solventar la vulnerabilidad, pero no fue instalada y por ende no fue remediada”.

Por haber causado “la pérdida de activos de información” en los servidores y equipos de usuario final, así como la interrupción de los procesos de negocio de la empresa, la Auditoría pidió a la Unidad de Responsabilidades en Pemex investigar, y en su caso sancionar, las irregularidades de los servidores públicos que omitieron actualizar e instalar los parches de los servidores y no migraron las plataformas de las cuales los fabricantes habían anunciado la terminación del soporte ampliado, lo cual “contribuyó” para que los sistemas hayan sido vulnerados.

También solicitó indagar las irregularidades de los servidores públicos que descartaron atender la recomendación emitida en la auditoría 449-DE, porque las fallas siguieron en los controles de ciberseguridad respecto al ejercicio 2018: no se registran avances en el inventario de software autorizado y no autorizado, en las configuraciones seguras para hardware y software en los dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores, en la aplicación de software de seguridad, así como en las pruebas de penetración y ejercicios de equipo rojo; lo que “aumenta el riesgo de un incidente de seguridad informática que podría ocasionar un impacto negativo en los activos de información y procesos de negocio de la empresa”.

Hasta ahora se sabe de manera oficial que hace un año, por esta serie de omisiones, fueron afectados mil 182 servidores Windows de los cuales 203 (17.2 por ciento), en pleno 2019, tenían instalado el sistema operativo Windows 2003; 703 (59.5 por ciento), Windows 2008; 216 (18.3 por ciento), Windows 2012 y solo 60 (5.0 por ciento) Windows 2016. Asimismo, se identificó que mil 138 (96.3 por ciento) de los servidores afectados corresponden al ambiente productivo.

De los 56 mil 393 equipos de cómputo de Pemex, 11 mil 054 (19.6 por ciento) fueron los atacados. De ellos, se identificó que 9 mil 242 (83.6 por ciento) contaban con el agente ATP (Protección Avanzada contra Amenazas) y mil 812 (16.4 por ciento) no lo tenían; y 8 mil 021 (72.6 por ciento) tenían instalado el agente DLP (Prevención de Pérdida de Datos), pero no así 3 mil 033 (27.4 por ciento).

El titular de Pemex, Octavio Romero Oropeza. Foto: Pemex.

Tras el ciberataque, documenta la Auditoría, la Gerencia de Seguridad de la Información solicitó el apoyo del Centro de Operaciones de Seguridad (SOC). Pero no se tiene evidencia de que la notificación del incidente y la comunicación a directores se realizó conforme al “Proceso Gestión de Incidentes de Seguridad de la Información”. Algunas de las acciones de contención fueron el cambio de contraseñas de las cuentas de administrador; cortar la salida a internet de las redes de servidores con afectación; instalar el agente de seguridad en los servidores Windows; y ejecutar el escaneo de antivirus en los equipos y servidores afectados.

Dentro de las aplicaciones afectadas se encuentran la Configuración dinámica de equipos (DHCP); Gestión documental y trabajo en equipo (SharePoint); Infraestructura de datos (PI); Sistema integral de información comercial (SIIC); Respaldos históricos de usuarios; Controlador de dominio; Sistema de posicionamiento (SIPOA); ERP Tesorería; ERP SIIF (Sistema integral de información financiera); CITRIX; Nómina y SCCM, entre otras; cabe señalar que algunas de estas aplicaciones soportan los procesos de negocio de la Empresa.

Del universo de 11 mil equipos afectados, se identificó en la muestra auditada que 43 (86 por ciento) ya tenían instalada y actualizada una solución de antivirus, dos (4 por ciento) todavía no contaban con el antivirus actualizado y en cinco (10 por ciento) no fue posible validarlos. Se detectó que 34 equipos (68 por ciento) contaban con la instalación de parches actualizados, 12 (24 por ciento) aún no estaban actualizados y en cuatro (8 por ciento) no fue posible validarlos.

LA HERENCIA: PLANTA DE FERTILIZANTES

La Auditoría Superior de la Federación (ASF) también fiscalizó acciones de Pemex Exploración y Producción, una de las máximas apuestas de este Gobierno federal, entre ellas, sobre la plataforma Abkatun-A2, ductos en la sonda de Campeche, un oleogasoducto y un Oleoducto hacia la plataforma PP-Ayatsil-C en el Golfo de México, así como la rehabilitación de las plantas de fertilizantes nitrogenados en Veracruz.

La rehabilitación de plantas de fertilizantes, como la AgroNitrogenados, fue un proyecto que inició desde agosto de 2014 en el sexenio de Enrique Peña Nieto y presentó atrasos, sobrecostos deficiencias y presunta corrupción por la cual está bajo juicio el ex director Emilio Lozoya Austin.

En 2019 se erogaron 467 millones de pesos y un contrato para la compra-venta de chatarra que generó ingresos por mil 960 millones de pesos. Del 29 de agosto de 2014 al 31 de diciembre de 2019, se han ejercido aproximadamente 422.5 millones de dólares sin que aún funcione, por lo que “no se han generado los beneficios esperados para el Estado al adquirir los activos de esta planta, tales como, sustituir importaciones de fertilizantes, alcanzar la seguridad alimentaria”, destacó el órgano.

Hasta julio 2020, el Pemex de la denominada Cuarta Transformación continúa sin cumplir la meta de ponerlas en operación, debido principalmente a la falta de gas natural, bióxido de carbono y amoniaco, consideradas como materias primas para la producción de urea (fertilizantes) que dependen de lo que produce el Centro Nacional de Control del Gas Natural (Cenagas) y el Complejo Petroquímico de Cosoleacaque (Copeco).

Esto, aseguró la ASF, ha impedido que se hayan realizado las pruebas operativas en la planta de Urea I y las pruebas “antisurge”en la planta de Urea II, servicios auxiliares y materias primas y el Área VI. Y aunque fueron reconocidas como entregadas mediante el acuerdo del 17 de octubre de 2018, no cuentan con el Certificado de Aceptación Definitiva porque no cumplieron con todas las obligaciones previstas para la recepción definitiva.

Además, el órgano autónomo halló fallas en el proceso de contratación: no se realizaron los estudios de mercado y el análisis de costo beneficio; ni cuenta con la evidencia de haber verificado que las empresas concursantes se encontraban habilitadas y capacitadas de operación. Aunado a ello, se observó que en la venta de la chatarra del 28 de enero al 30 de abril de 2019 no se cumplieron todos los procedimientos para la disposición de desecho, ya que no se entregaron los oficios en los que se señalara que el material ya no estaba en condiciones de reincorporarse al servicio y que sería desmantelado para su venta como chatarra, ni los oficios de baja de los equipos.

Ante ello, la Auditoría llamó a la Unidad de Responsabilidades en Pemex a investigar las irregularidades de los servidores públicos en materia de contratación y procedimientos sobre la chatarra. En relación con la compra de las plantas de fertilizantes propiedad de las empresas Agro Nitrogenados, Agro Inmuebles y Agro Administración, la Auditoría Superior de la Federación presentó el 18 de julio de 2019 una denuncia de hechos ante la Fiscalía General de la República (FGR).

Desde la Cuenta Pública 2016, evocó la ASF, se señaló que se formalizó la compra de la planta de fertilizantes “con equipo incompleto, en mal estado y no utilizable, con 30 años de antigüedad y 18 años fuera de operación”; asimismo, se careció de estudios y análisis competentes para garantizar su rentabilidad y determinar adecuadamente los costos de mantenimiento desde su proceso de adquisición. Y en la Cuenta Pública de 2018 añadió que se reconoció una pérdida de 212 millones 600 mil dólares por deterioro correspondiente al valor de las tres plantas de Urea en que se omitió su proceso de rehabilitación, sin que se previera reanudarlo en el corto y mediano plazo.

Finalmente, respecto a la construcción y operación de la plataforma de producción Abkatun-A2, se determinó que no cumple con la capacidad de procesamiento de producción establecido en el alcance de su contratación, con las metas e indicadores del proyecto. Pemex, observó la ASF, carece de la documentación oficial que acredite la validación presupuestal por 198 millones 743 mil pesos y hubo pagos fuera de norma por más de 34 millones de pesos. Tampoco comprobó la aplicación de penalizaciones a la contratista por 26 millones 250 mil dólares por el atraso en el cumplimiento de la fecha programada de terminación total de los trabajos.

En los trabajos en la sonda de Campeche se detectaron diversos pagos indebidos por más de 84 millones de pesos y, como no se contaba con la disponibilidad de las plataformas Xikin-A y Xanab-D, aumentó un 90 por ciento el plazo de ejecución de los trabajos. Además, quedó un monto por aclarar de 3 mil 339 millones de pesos, debido a que no se proporcionó la evidencia de los videos pre lay.

…Y FALLAS DE LA CFE

La Auditoría Superior de la Federación realizó una auditoría de desempeño de la Comisión Federal de Electricidad (CFE), titulada por Manuel Bartlett Díaz, sobre gobernanza corporativa, finanzas, generación, transmisión, distribución y suministro de electricidad, la renegociación de gasoductos con la iniciativa privada, proyectos de inversión, combate a la corrupción y sobre la Agenda 2030 para el Desarrollo Sostenible.

“Resulta necesario que la empresa establezca medidas que le permitan mejorar su eficiencia financiera y operativa, con objeto de continuar cumpliendo con su función social y reducir las tarifas al usuario final, a la par de avanzar en la rentabilidad y generación de valor económico”, dijo la ASF.

La empresa no actualizó su Plan de Negocios; generó utilidades, pero no fueron suficientes y sus resultados financieros aún no son óptimos para considerarse una empresa con solidez financiera; y no cumplió la meta de generación por fallas en las centrales, el aumento en los precios y reducción de combustibles, el retraso en la operación comercial de algunas centrales y los trabajos de mantenimiento que no cumplieron con los tiempos programados. Además, la energía de 56 centrales se vendió a precios inferiores a los costos de generación, lo que representó pérdidas por 61 mil 477 millones de pesos.

En 2019, evocó la Auditoría, la CFE anunció la renegociación de siete contratos de gasoductos: Sur de Texas-Tuxpan, Villa de Reyes-Aguascalientes-Guadalajara, La Laguna-Aguascalientes, Tula-Villa de Reyes, Samalayuca-Sásabe, Tuxpan-Tula y Guaymas-El Oro. Al cierre de 2019 y al primer semestre de 2020 no se concluyeron las renegociaciones con las empresas responsables de construir los gasoductos Tula-Villa de Reyes y Tuxpan-Tula.

“La renegociación de cinco gasoductos que consistió en una nivelación de tarifas fijas resultó en un ahorro nominal para la CFE, hasta el año 25, de 4 mil 342 millones de dólares, y del año 26 al 35 la CFE pagará por concepto de cargo fijo 11 mil 178 millones de pesos, 157.4 por ciento al ahorro que tendría hasta el año 25, lo que indica que al final del término de los contratos pagará 6 mil 836 millones de pesos adicionales a los estipulados antes de la renegociación de los gasoductos”, concluyó la ASF.

Asimismo, fiscalizó los recursos ejercidos para el mantenimiento y adquisición de refacciones para las Unidades Generadoras Termoeléctricas, Turbo Gas Convencional y de Ciclo Combinado de la CFE, y observó irregularidades en el proceso de contratación.

En 2019, la CFE Generación I ejerció 3 mil 127 millones de pesos para mantenimiento de Centrales Generadoras de Energía Eléctrica en las 42 centrales a su cargo, de los cuales 335 millones 542 mil pesos correspondieron a las centrales Hidroeléctricas (10.7 por ciento) y 2 mil 791 millones de pesos (89.3 por ciento), a las centrales Termoeléctricas, Turbo Gas, de Combustión Interna y de Ciclo Combinado. Dentro de este tipo de centrales, las que ejercieron mayor presupuesto fueron la Central Termoeléctrica Francisco Pérez Ríos, la Central de Ciclo Combinado El Sauz, la Central de Combustión Interna Baja California Sur y la Central Turbo Gas Nonoalco.

En cuatro procesos, por 10 millones 442 mil pesos, las fechas de las actas de Fallo y de Presentación y Apertura de Ofertas difieren de la establecida en los pliegos de requisitos de los procedimientos de adjudicación, “sin justificación”. Del Concurso Abierto DPIF/001/2013, por el cual pagaron 111 millones 768 mil pesos, no se proporcionó la justificación de la Excepción a la Licitación Pública ni el Dictamen de Autorización.

En 14 procesos, por 65 millones 772 mil pesos, se presentaron “incongruencias” de los datos señalados en las actas de Presentación y Apertura de Ofertas Técnicas, de Resultado Técnico y Apertura de Ofertas Económicas, y de Fallo, de las partidas y la evaluación de las ofertas de los proveedores; del número de procedimiento adjudicado; de la fecha de los documentos; del procedimiento adjudicado; de los importes adjudicados y del nombre correcto del proveedor ganador conforme a las partidas adjudicadas. En cinco contratos, por 15 millones 498 mil pesos, las actas de entrega-recepción se elaboraron entre cinco a 47 días después de la prestación del servicio.