maria.lopez
La negligencia digital en gasolineras choca con la norma de ciberseguridad. El 70% del sector ignora el riesgo, el gobierno exige sin ayudar, y la seguridad nacional está en jaque. Un debate intenso con ejemplos reales que enciende la polémica.
Increíble pero cierto: en pleno 2025, solo 3 de cada 10 gasolineras mexicanas cuentan con sistemas de ciberseguridad implementados. Esta cifra, proporcionada por la empresa eGas, enciende las alarmas. ¿El otro 70%? Bien, gracias… sigue operando prácticamente con la puerta digital abierta, confiando en la suerte. Y eso que desde 2024 la ciberseguridad es un requisito obligatorio para todas las empresas que manejan hidrocarburos en México. O sea, no es opcional ni capricho: es la ley.
Esto es un cóctel explosivo de negligencia empresarial, regulación a medias y un riesgo latente para la seguridad nacional. En este artículo polémico y provocador, vamos a desmenuzar el problema desde tres ángulos incómodos: (1) la indiferencia del sector gasolinero ante riesgos críticos (como quien juega con fuego junto a un tanque de gasolina), (2) la mano dura del gobierno que obliga pero no capacita, y (3) el dilema entre ganar dinero hoy o proteger al país mañana. Prepárate: lo que viene es directo, sin filtro y con ejemplos que harán levantar la ceja a más de uno.
Hay un dicho que reza: "El que juega con fuego, tarde o temprano se quema". Pues muchas gasolineras están jugando con fuego digital. La actitud de “a mí no me va a pasar” se nota a kilómetros. Mientras las grandes cadenas quizá invierten en seguridad, muchísimas estaciones independientes siguen haciendo caso omiso. ¿Ciberqué? Para muchos dueños, eso de la ciberseguridad suena tan lejano como la luna. Actualizar antivirus, cambiar contraseñas, segmentar redes… ¡No manches! Ni lo pelan.
El resultado: sistemas expuestos y tentadores para cualquier delincuente con conocimientos básicos. Un directivo de eGas lo advirtió claramente: el uso de software pirata o desactualizado en las estaciones es una invitación abierta a los hackers, pues esas prácticas abren la puerta a ciberataques, extorsiones o robo de información. En pocas palabras, muchas gasolineras operan con equipos viejitos, contraseñas por defecto y programas “patito” sin soporte, pensando que nunca pasará nada. ¡Está cañón!
¿Crees que exageramos? Ahí te van unos ejemplos reales que ponen los pelos de punta: más de 120,000 litros de combustible fueron robados de dos gasolineras en París mediante acceso remoto, los hackers pusieron las bombas en modo mantenimiento y ¡zás!; en Detroit, una estación despachó gasolina gratis durante hora y media a todos los clientes; y una gran petrolera mexicana (sí, Pemex) sufrió un ataque que comprometió el 5% de sus equipos. Y no es todo: en Estados Unidos, varias estaciones de servicio fueron hackeadas para robar datos de tarjetas de crédito de los clientes, aprovechando vulnerabilidades por usar tecnología obsoleta. ¿Qué tal? La próxima vez que alguien diga "no pasa nada, ¿quién va a hackear una gasolinera?", recuérdale estos casos.
Cada estación sin protección es un blanco fácil. Es como dejar el coche abierto y con las llaves puestas en un barrio complicado esperando que no se lo roben. Tarde o temprano, alguien se va a subir y arrancar. La negligencia del sector gasolinero en materia de ciberseguridad no solo pone en riesgo sus propios pesos y centavos; también compromete la confianza de los clientes y la integridad de un producto tan sensible como la gasolina. Si un día amanecemos con una “sorpresita” de que tal o cual cadena de gasolineras fue hackeada, que nadie se haga el sorprendido. Era cuestión de tiempo, y el tiempo se les está acabando para reaccionar.
Pasemos al otro culpable en esta novela: el gobierno y sus regulaciones. En el papel, la autoridad ya hizo su chamba, ¿no? Publicó el famoso Anexo 30 de la Resolución Miscelánea Fiscal 2024 y dejó clarito que todas las empresas gasolineras deben implementar sistemas informáticos seguros para el control volumétrico y la ciberseguridad. Básicamente, el SAT les dijo: “Ponte las pilas o te multo”. Hasta aquí, suena bien la cosa. El problema es cómo se ha implementado esa obligación.
La crítica es sencilla: el gobierno obliga, pero no acompaña ni capacita. Imagina decirle a todas las gasolineras del país que en cuestión de meses deben actualizar sus sistemas, comprar firewalls, contratar expertos, hacer pentesting… todo por su cuenta. Muchos dueños ni entienden los términos técnicos. Es como si mañana te exigen que instales un sistema de alarma nuclear en tu casa: ok, es por seguridad, ¿pero quién demonios te enseña a hacerlo?
Sí ha habido webinars, cursos aislados y mucha teoría. Pero la realidad es que la gran mayoría de los concesionarios se sienten desamparados. La ley está ahí, con sus artículos de multas y hasta amenazas de prisión para quien manipule datos (porque esto va ligado a combatir el huachicol y la evasión fiscal). Sin embargo, con solo el 30% de cumplimiento a estas alturas, está claro que la estrategia de “mandato y castigo” no ha sido suficiente. Muchos gasolineros posiblemente ni saben por dónde empezar.
El gobierno, en su afán regulatorio, cayó en lo de siempre: publicar reglas sin asegurar las condiciones para cumplirlas. Es como aventar un decreto y decir “ya arreglé el problema”, mientras en campo todo sigue igual. ¿Cuántas inspecciones reales se han hecho? ¿Cuánta asesoría personalizada brindaron a las estaciones pequeñas en ranchitos lejanos? Casi nula. Entonces, ¿de qué sirve una norma que en papel suena de vanguardia si en la práctica nadie la pela? Peor aún, podría darse el caso (no sería raro en México) que un día el SAT se canse y empiece a poner sanciones ejemplares, cerrando gasolineras o metiendo multas millonarias por incumplimiento. Y ahí van a llorar todos.
En resumen, la regulación está —y era necesaria, ojo, no negamos eso— pero faltó acompañamiento. Obligar por decreto no garantiza seguridad. Si de verdad se quiere proteger la infraestructura, la autoridad tendría que estar encima ayudando: subsidios para tecnología, brigadas de capacitación en cada estado, manuales digeribles, soporte técnico telefónico 24/7 para dudas, qué sé yo. Algo más allá de un PDF en el Diario Oficial. De lo contrario, el Anexo 30 corre el riesgo de ser letra muerta o, en el mejor de los casos, un dolor de cabeza burocrático que las gasolineras cumplen a medias y de mala gana.
Aquí entramos al meollo del asunto: la tensión entre la rentabilidad empresarial y la seguridad nacional. Porque, seamos honestos, si las estaciones no invierten en ciberseguridad es porque duele en el bolsillo. Instalar sistemas, contratar expertos, mantener todo al día, cuesta lana. Y en un negocio donde el margen por litro vendido es apretado, muchos piensan: “¿Para qué gasto en eso si nunca ha pasado nada? Mejor me ahorro esa plata”. La lógica cortoplacista de siempre. Ganancia hoy, riesgo… bueno, ya veremos luego.
El problema es que ese “luego” nos puede estallar en la cara a todos. La gasolina es un producto estratégico; si de pronto un ataque coordinado tumbara las redes de varias distribuidoras o estaciones, el país entero lo resentiría. No es ciencia ficción: en Estados Unidos sucedió en 2021. Un ransomware paralizó el oleoducto Colonial Pipeline y eso dejó sin combustible a miles de gasolineras en la costa Este, desatando compras de pánico y filas eternas. En Carolina del Norte casi 28% de las estaciones se quedaron sin gasolina por ese ataque, causando caos. En Irán, ese mismo año, un ciberataque bloqueó el sistema de vales de gasolina subsidiada y millones de personas no pudieron cargar combustible por días. Piensa en el impacto económico y social de algo así. Ahora imagina un escenario similar en México: ¿estamos preparados? Con el 70% de nuestras gasolineras vulnerables, la respuesta es un rotundo no.
La cuestión de fondo es ética y pragmática a la vez: ¿Debe una empresa anteponer sus ahorros sobre un asunto que puede convertirse en un problema de seguridad nacional? Es el dilema del costo invisible. Mientras no ocurra nada, invertir en ciberseguridad parece gasto hormiga, un lujo. Pero el día que ocurre, ¡zás!, se vuelve la prioridad número uno y ojalá hubieras gastado antes. Un ataque grave no solo le pega al empresario; nos pega a todos: escasez de combustible, precios por las nubes, posible peligro de accidentes o incluso efectos en la seguridad pública (imagina patrullas, ambulancias, bomberos sin poder cargar gasolina). ¿Vale la pena ese riesgo? Claramente no, pero convencer al que ve por su negocio individual es complicado.
Veamos ambos lados de la moneda de forma resumida:
Visión de la rentabilidad (corto plazo): “Tengo que cuidar mis costos. El sistema que tengo ‘medio funciona’ y nunca he tenido un problema serio. ¿Para qué gasto en consultores de TI, firewalls caros o certificaciones? Mejor invierto en algo que sí me genere ingresos inmediatos. Además, el gobierno ni revisa bien esto, chance ni se dan cuenta si no cumplo al 100%. Y si pasa algo, pues ni modo, luego lo resuelvo. Mientras tanto, ahorro.”
Visión de la seguridad nacional (largo plazo): “Tu ahorro hoy puede costarnos carísimo mañana. Si tu estación es eslabón débil, por ahí pueden atacar los criminales, comprometer datos fiscales, robar combustible o hasta provocar un desabasto regional. La norma de ciberseguridad existe para proteger intereses mayores, no solo los de tu negocio. Invertir en seguridad no es tirar el dinero, es evitar una catástrofe que pondría en jaque a todo el país. Una gasolinera hackeada no es solo problema del dueño, es problema de todos.”
Ahora, no todo es pesimismo. También hay soluciones claras sobre la mesa, puentes entre rentabilidad y seguridad. Las recomendaciones técnicas están identificadas (y no son ciencia espacial): implementar buenos firewalls, sistemas de detección y prevención de intrusos, cifrar los datos sensibles, segmentar las redes (separar la red de las bombas de la de administración, por ejemplo) y hacer monitoreo continuo de los sistemas. Además, realizar pruebas de penetración (pentesting) periódicas para detectar agujeros antes de que los malos los encuentren. Todo esto suena caro, pero ¿qué crees? Es muchísimo más barato que pagar las consecuencias de un hackeo masivo. Un directivo de eGas lo dijo claramente: trabajar con proveedores certificados y seguir estándares internacionales (como PCI DSS, ISO 27001) ayuda a evitar interrupciones de servicio que deriven en sanciones económicas. O sea, protege tu negocio y cumples la ley, dos por uno.
La triste realidad en campo es que pocas estaciones han aplicado estas medidas a cabalidad. ¿Cuántas tendrán un firewall decente configurado? ¿O un IDS vigilando tráfico anómalo 24/7? Si varias ni actualizan Windows, dudo que estén haciendo pentests. eGas mismo, que vende estas soluciones, encontró casos de estaciones operando con sistemas tan viejos que con solo poner una contraseña se hubiera evitado un riesgo mayor. Muchas ni sabían lo expuestas que estaban hasta que un consultor se los mostró. Es decir, el desconocimiento también juega un rol: no es que todos quieran ser negligentes a propósito, algunos de verdad no dimensionan el peligro. Pero ya no hay excusa, los ejemplos sobran. La propia Pemex, con todo y sus millones, fue víctima de ransomware en 2019: los atacantes le exigieron un rescate de 565 bitcoins (casi 5 millones de dólares) para liberar sus sistemas. Si eso le pasa a un gigante respaldado por el Estado, ¿qué le puede pasar a una gasolinera independiente sin protección? Exacto, mejor ni pensarlo.
Entre la negligencia del sector y la omisión del gobierno, estamos sentados sobre una bomba de tiempo digital. ¿Quién la va a desactivar? Aquí nadie sale libre de culpa: los gasolineros por hacerse de la vista gorda, las autoridades por lanzar la bola y no darle seguimiento, y en cierta medida todos nosotros por no exigir cuentas hasta que no vemos el fuego. Ya vimos que el riesgo no es imaginario; los ataques han ocurrido y ocurren. México no es inmune al ciberdelito, y menos en algo tan jugoso como los hidrocarburos.
Es hora de cambiar el chip. La ciberseguridad en las estaciones de servicio no es un lujo ni un capricho regulatorio: es una necesidad urgente. Se necesita voluntad empresarial para invertir y capacitarse, y se necesita también un gobierno que se ensucie las manos para ayudar en la implementación, no solo para castigar cuando todo salga mal. La alternativa es seguir como hasta ahora, esperando el gran ciberataque que nos haga reaccionar a la mala.
¿Vamos a esperar a que nos apaguen la luz (o en este caso, nos cierren el flujo de gasolina) para tomar en serio la seguridad? Ojalá que no. Este es el momento de que el sector gasolinero despierte de su letargo tecnológico, que las autoridades se bajen de la oficina a tierra a echar una mano, y que todos entendamos que, en la era digital, proteger nuestros sistemas es proteger nuestro país. Ni más ni menos.
¿Tú qué opinas de todo esto? ¿Crees que es alarma exagerada o una llamada de atención necesaria? Te leemos en los comentarios. 🚀 No te quedes callado: comparte este artículo si te hizo ruido el tema, discútelo con tu equipo o colegas, y suscríbete a nuestro boletín para recibir más contenido candente sobre esta polémica. ¡Esperamos tu voz en este debate importante!
1. ¿Por qué solo el 30% de las gasolineras mexicanas tiene ciberseguridad implementada?
Porque durante años la ciberseguridad no fue prioridad en el sector. Muchas gasolineras son negocios familiares o pequeñas empresas que no contaban con conocimiento ni presupuesto para sistemas informáticos avanzados. Hasta hace poco, el gobierno (vía SAT) no exigía formalmente estos controles, por lo que la adopción era voluntaria y baja. Ahora que es obligatorio, todavía hay resistencia por costos y falta de capacitación, lo que explica el bajo porcentaje de cumplimiento.
2. ¿Qué es el Anexo 30 y qué tiene que ver con las gasolineras?
El Anexo 30 de la Resolución Miscelánea Fiscal 2024 es una regulación del SAT que obliga a las empresas que manejan hidrocarburos (incluidas gasolineras) a llevar controles volumétricos digitales y cumplir con ciertos estándares de ciberseguridad en sus sistemas. En pocas palabras, exige que las gasolineras usen software y equipos seguros, realicen respaldos, protección contra hackers, etc., para garantizar la integridad de la información de combustible vendido y evitar fraudes o robos. Es la respuesta tecnológica al problema del huachicol y la evasión fiscal en gasolinas.
3. ¿Cuáles son los riesgos de no tener ciberseguridad en una estación de servicio?
Los riesgos van desde pérdidas económicas hasta amenazas a la seguridad pública. Por ejemplo: podrían robar datos de tarjetas de crédito de clientes si el sistema de pago es vulnerable; adulterar los reportes de litros vendidos (fraude fiscal); detener totalmente la operación de la estación (dejándola sin poder vender) mediante ransomware; o incluso causar situaciones peligrosas como sobrecargar bombas, generar fugas o errores en sensores. Ha habido casos reales de robo de combustible a distancia y estaciones que prácticamente “regalaron” gasolina por hackeos. Además, una estación vulnerada puede ser la puerta de entrada para atacar a otras o a la red de la que forman parte, creando un efecto dominó.
4. ¿No debería Pemex/Gobierno ayudar a las gasolineras con este tema de seguridad?
Pemex como tal no, porque cada gasolinera es responsable de sus sistemas (aunque vendan combustible de Pemex, la operación es privada o franquiciada). Pero el Gobierno sí podría ayudar más. Hasta ahora puso la regla y ofrece algunas capacitaciones generales, pero podría dar incentivos fiscales a quienes inviertan en ciberseguridad, crear programas de asesoría técnica gratuita para pequeñas estaciones, o al menos difundir más guías prácticas. Dado que es un asunto de interés nacional (por el impacto que tendría un ataque grave), tiene sentido que el Estado apoye en la implementación, no solo en la supervisión punitiva.
5. ¿Qué pueden hacer hoy mismo las gasolineras para mejorar su ciberseguridad sin arruinarse?
Algunas medidas iniciales no requieren una fortuna: por ejemplo, mantener sus computadoras y sistemas actualizadoscon los últimos parches (muchas brechas se solucionan actualizando software); usar antivirus y anti-malware confiables; cambiar contraseñas predeterminadas en equipos (¡increíble cuántas usan “admin/admin”!); separar la red de internet de la red de operaciones de las bombas (segmentación básica, incluso con el módem que ya tienen se puede configurar); y hacer backups frecuentes de la información crítica (ventas, inventarios) en dispositivos externos o en la nube. También capacitar al personal en no caer en trampas de phishing (que no abran cualquier correo o USB extraño). Estas acciones, junto con consultar a proveedores como eGas u otros para una evaluación, pueden significar una gran diferencia y no son tan costosas comparado con las pérdidas potenciales de un ciberataque.
Todos los campos son obligatorios *
