Ciberseguridad Vulnerabilidad

Nueva filtración de datos: sindicato petrolero expone datos y documentos de miles de trabajadores de Pemex

Nueva filtración de datos: sindicato petrolero expone datos y documentos de miles de trabajadores de Pemex

La información personal de miles de trabajadores de Pemex quedó expuesta en internet por el Sindicato de Trabajadores Petroleros de la República Mexicana (STPRM), lo que representa una vulneración cibernética que de nuevo perjudica a funcionarios federales, como sucedió con el hackeo del grupo “Guacamaya” al Ejército donde la nómina militar fue exhibida.

En este caso, el sindicato petrolero compartió archivos e información privada de sus agremiados con una sociedad cooperativa que dejó sin protección, durante tiempo indefinido, el código y los accesos para ingresar a un sistema de expedientes electrónicos en el que se resguardan datos de los trabajadores de Pemex.La vulnerabilidad fue encontrada por un estudiante de seguridad informática dedicado al Bug Bounty (una actividad que busca fallas en la ciberseguridad de sitios web). Sin embargo, se desconoce cuántos hackers o cibernautas pudieron recabar las credenciales de acceso al sistema y hoy tienen a su disposición miles de documentos de los empleados de la empresa petrolera.

El estudiante, identificado como lVlÆ, lo reportó a Pemex el pasado 4 de noviembre. Ese día escribió a un correo electrónico de la petrolera a nombre de Carlos Rigoberto Martínez, a quien alertó del descuido que representaba tener expuestas las credenciales informáticas y le entregó las contraseñas.

lVlÆ aseguró a Latinus que Pemex solo le respondió que había recibido su denuncia, sin ofrecer más detalles. Cinco días después, el 9 de noviembre, llamó por teléfono a la Guardia Nacional. Ahí le dijeron que el asunto no era su responsabilidad y que, en todo caso, Pemex y el STPRM tendrían que encargarse del problema.

El enlace donde lVlÆ obtuvo las credenciales de acceso al sistema ya está inservible porque el repositorio público en el que se encontraban fue borrado o puesto en modo privado. Sin embargo, las contraseñas que estuvieron expuestas durante semanas siguen vigentes y mantienen abierta la entrada a la plataforma desde cualquier computadora conectada a internet.

Latinus pudo constatar que en el sistema de expedientes electrónicos hay 28 tipos de documentos personales y laborales, desde actas de nacimiento, credenciales del INE y comprobantes de domicilio, hasta contratos con Pemex, fotografías y fichas de movimientos dentro del sindicato

Hasta ayer sábado, en esta plataforma se encontraban ingresados los expedientes de más de 31 mil trabajadores de Pemex y de sus empresas subsidiarias. Día con día se van sumando nuevos datos y más archivos con información personal. El STPRM cuenta con más de 100 mil agremiados.

La cantidad de información disponible es inmensa. Por ejemplo, Latinus encontró en la plataforma los registros íntegros del personal de Pemex que trabaja en una planta estabilizadora en Minatitlán, Veracruz. De ellos se puede saber su RFC, CURP, los beneficios que la sección 10 del sindicato les ha otorgado y sus asistencias a las asambleas gremiales.

O bien, desde la página es posible descargar los contratos de los trabajadores que están en un taller de Pemex dedicado a la construcción de depósitos, los cuales contienen información de sus salarios, prestaciones y cómo obtuvieron esa plaza laboral.

Del sindicato a una sociedad cooperativa

En esta página aparece el logotipo del STPRM a la par de las iniciales de Desarrollo Patrimonial ADPA, una sociedad cooperativa que ofrece servicios a sindicatos para gestionar cajas de ahorro y préstamo

El listado de usuarios registrados en la plataforma revela que más de 70 personas, entre trabajadores del sindicato y empleados de ADPA, tendrían acceso y control del sistema electrónico de expedientes.

De acuerdo con los metadatos de la página, el dominio fue creado en diciembre de 2021 y está registrado a nombre de Desarrollo Patrimonial ADPA.

Esta sociedad cooperativa y el STPRM no tienen restricciones en el intercambio de información sensible. En el aviso de privacidad de la página web de la empresa se establece que ADPA podrá transferir datos personales a terceros, como la secretaría de la Tesorería del STPRM, el departamento de nómina de Pemex y otros proveedores de servicios.

referencia https://latinus.us/2022/12/11/vulneracion-cibernetica-sindicato-petrolero-expone-datos-miles-trabajadores-pemex/

Author

Luis Díaz