8 dependencias del gobierno de AMLO presentaron irregularidades TIC, según la ASF

Con una nueva Auditoría de Ciberseguridad del Sector Energía, la Auditoría Superior de la Federación (ASF) completó ocho análisis vinculados con las Tecnologías de la Información y Comunicaciones, según la más reciente entrega del análisis de la Cuenta Pública 2020, el segundo año de gobierno del presidente Andrés Manuel López Obrador y el año en el que inició la pandemia de Covid-19 en México.

El ISSSTE es la única institución que volvió a ser auditada en sus procesos de contratación y mantenimiento de Tecnologías de la Información y Comunicaciones (TIC). Según la ASF, la dependencia federal incurrió de nuevo en irregularidades, que se suman al incidente de ciberseguridad que vivió en 2020, cuando el instituto dejó expuesta en internet información sensible de varios pacientes en distintos estados del país.

Todas las Auditorías de TIC que realizó la ASF en las dependencias del gobierno federal presentaron deficiencias o irregularidades. Aunque el impacto económico de la pandemia de Covid-19 llevó al gobierno de AMLO a recortar en 17% el presupuesto que había planeado destinar a las Tecnologías de la Información y Comunicaciones (TIC), las dependencias del gobierno federal gastaron 22,168 millones de pesos, 92% de los 24,208 millones presupuestados, según datos de Select.

Estas son ocho dependencias del gobierno de AMLO con irregularidades TIC, que deben aclarar montos por 174 millones 77,297 pesos, según la Auditoría Superior de la Federación (ASF):

1. Banco del Bienestar

Monto por aclarar: 64 millones 499,817.03 pesos

El análisis de la auditoría muestra que el Banco del Bienestar, creado por el presidente López Obrador, muestra deficiencias e irregularidades en las investigaciones de mercado y en los estudios de factibilidad y costo beneficio de los contratos celebrados con Infotec Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación y con el tercero que este a su vez contrató para brindar los servicios de fábrica de software.

El universo seleccionado para hacer la auditoría fue de 287.5 millones de pesos y la muestra auditada corresponde a la contratación de servicios de fábrica de software, soporte, actualización de licencias y horas de desarrollo de sistemas, por un total de 134.7 millones de pesos, es decir 46.9% del universo seleccionado. Según el análisis de la Cuenta Pública 2020, se encontraron deficiencias por 7 millones de pesos entre las facturas emitidas por los proveedores y los pagos registrados en la Cuenta Pública 2020 por los servicios prestados al Banco del Bienestar.

El Banco del Bienestar tampoco entregó los comprobantes de los pagos efectuados por los servicios que requirió durante el ejercicio 2020. A esto se suma que los entregables de los servicios proporcionados tanto al Banco del Bienestar como a Infotec mostraron deficiencias en su calidad y supervisión.

La auditoría advierte que en la revisión del contrato para la prestación de servicios de fábrica de software entre el Banco de Bienestar e Infotec, 98.8% de las órdenes de trabajo atentidas durante 2020 corresponden a funciones básicas del sistema de core bancario de la empresa Temenos, además de a solicitudes de mantenimiento correctivo. La ASF presume que el sistema de core bancario no cumple con las necesidades y capacidades requeridas para soportar las operaciones actuales del banco.

2. Sedena

Monto por aclarar: 15 millones 358,380.50 pesos

La Auditoría Superior de la Federación analizó cinco contratos “relacionados con los servicios de mantenimiento para centro de datos, de arrendamiento de comunicación satelital móvil, y de soporte técnico y mantenimiento para los equipos de seguridad lógica de la Secretaría de la Defensa Nacional (Sedena)”, que representan una muestra de 18 millones 745,300 pesos, es decir 23.2% de los 80 millones 700,700 pesos.

La auditoría encontró falta de soporte de los servicios proporcionados por los proveedores y pagados por la Sedena; además de que la secretaría también omitió determinar los criterios para efectuar los pagos a proveedores por los servicios prestados. Tampoco supervisó y dio seguimiento al contrato de cumplimiento de estos servicios.

La Sedena también incurrió en deficiencias al no proporcionar la integración de todos los recursos TIC ejercidos dentro de la dependencia. A esto se suma que la auditoría halló deficiencias en la administración y operación de los controles de ciberseguridad de la secretaría, “las cuales podrían afectar la integridad, disponibilidad y confidencialidad de la información, poniendo en riesgo la operación de la secretaría”.

3. Guardia Nacional

Monto por aclarar: Sin especificar

Junto con el Banco del Bienestar, la Guardia Nacional es otra de las instituciones creadas por el presidente López Obrador. La Auditoría Superior de la Federación analizó seis contratos vinculados a las Tecnologías de la Información y Comunicaciones (TIC), por un monto total de 240 millones 281,700 pesos, que representa 37.7% de los 637 millones 70,900 pesos, uno de los montos más altos seleccionado por la ASF para un auditoría TIC.

La auditoría no pudo verificar el presupuesto de la Guardia Nacional debido a que la dependencia no documentó el registro y la desagregación del presupuesto por cada unidad administrativa. La corporación tampoco realizó estudios de factibilidad de los contratos celebrados y no cuenta con documentación que permita verificar que los proveedores entregaron los bienes y servicios “de conformidad con lo requerido”.

La Guardia Nacional, creada por el presidente López Obrador para sustituir a la Policía Federal en las labores de seguridad pública, carece también de un modelo de gobierno TIC, que permita “integrar, validar y comunicar la informaciń de la Cartera Ejecutiva de Proyectos de TIC”, según la auditoría.

4. Comisión Reguladora de Energía (CRE)

Monto por aclarar: 2 millones 48,692.82 pesos

La ASF realizó una Auditoría de Ciberseguridad del Sector Energía. La dependencia analizó seis contratos, relacionados con el servicio de desarrollo y mantenimiento a los sistemas de información en la modalidad de fábrica de software y el servicio de seguridad integral, celebrados por la Comisión Reguladora de Energía (CRE) por un total de 34 millones 203,900 pesos, que representan 41.1% de los 83 millones 315,800 pesos del universo seleccionado por la auditoría.

La Dirección de Tecnologías de la Información de la CRE carece de un manual de organización y de procedimiento, “que describa su estructura organizacional y las funciones de las áreas que la integran”. La dependencia tampoco cuenta con metodologías para determinar el costo del desarrollo del software que requiere y con “herramientas de control de cambios o algún otro mecanismo o para el registro de los cambios en infraestructura de TI incluido el software”.

Al tratarse de un sector de infraestructuras críticas, algunos de los hallazgos más graves de la auditoría son que no ha “mitigado las vulnerabilidades identificadas en sus plataformas tecnológicas”; que carece de indicadores de confiabilidad relacionados con la seguridad de la información y ciberseguridad; que no hay ni mecanismos de notificación inmediata de incidentes de ciberseguridad ni un plan de contingencia ante estos.

5. Caminos y Puentes Federales (Capufe)

Monto por aclarar: 46 millones 604,786.21 pesos

En el caso de Caminos y Puentes Federales, el organismo del gobierno federal que se encarga de la administración de las carreteras y autopistas de cuota que tiene a su cargo, la auditoría analizó dos contratos “para prestar los servicios de gestión de cobro del sistema de telepeaje en la red Capufe” por un total de 70 millones 309,600 pesos, que representan 44.4% del universo seleccionado, por 158 millones 281,300 pesos.

La ASF encontró deficiencias en la evaluación de las propuestas técnicas y económicas de los proveedores que participaron en las contrataciones de Tecnologías de la Información y Comunicaciones. La auditoría también halló un pago en exceso 3 millones 223,200 pesos “por servicios de cobro del sistema de telepeaje sin justificar el aumento de precios por los trabajos realizados, además no se respetaron las condiciones de la solicitud de cotización del organismo”.

Capufe también efectuó pagos por 43 millones 381,600 pesos “por la gestión de cobro de telepeaje de los usuarios en las redes interoperables, sin cumplir con los requisitos mínimos para la comprobación de la cédula de certificación de aforo interoperable para constatar la prestación de los servicios”. Además, la auditoría también identificó carencias en los controles de ciberseguridad de la dependencia, particularmente en el uso controlado de privilegios administrativos; su capacidad de recuperación de datos; el control de acceso inalámbrico y la supervisión y monitoreo de cuentas, entre otras.

6. Secretaría de Salud

Monto por aclarar: 45 millones 354,565.62 pesos

La ASF analizó cinco contratos con pagos por 259 millones 94,400 pesos celebrados por la Secretaría de Salud y que están vinculados con la administración de Tecnologías de la Información durante el ejercicio fiscal 2020. Los contratos representan 96% del universo seleccionado por la auditoría, que fue de 267 millones 425,300 pesos.

En el año de inicio de la pandemia de Covid-19, la ASF detectó que la Secretaría de Salud carece de “los mecanismos de revisión y control de los expedientes de trámites de pagos”. La dependencia tampoco realizó negociaciones con el proveedor para que el arrendamiento estuviera acorde con los equipos seleccionados y su obsolescencia.

La secretaría tampoco contaba, durante la auditoría, con “procedimientos de verificación, monitoreo, supervisión y control del cumplimiento de los compromisos y actividades contractuales, por lo que los bienes y servicios no se recibieron de conformidad con lo requerido, y no se determinaron las penas convencionales o deductivas aplicables” y tampoco tenía procedimientos de estimación y dimensionamiento de desarrollo del software.

7. ISSSTE

Monto por aclarar: Sin especificar

El instituto que vela por la seguridad social de los trabajadores del Estado mexicano, el ISSSTE, celebró durante 2020 cinco contratos para prestar los servicios administrados de infraestructura de seguridad en el centro de datos; centro de datos secundario; impresión, reproducción y digitalización de documentos; así como de equipo de cómputo personal,

con pagos por 594 millones 104,600 pesos, que fue la muestra analizada por la ASF.

Según la auditoría, “carece de un plan de remediación de las vulnerabilidades de la infraestructura y soluciones tecnológicas, así como para el borrado seguro de la información, con la finalidad de asegurar la protección de los activos de información contra amenazas cibernéticas”. El ISSSTE tampoco “documentó la transición de los servicios entre los contratos que soportan la continuidad operativa de los centros de datos, para asegurar que la migración de los sistemas, aplicaciones y bases de datos cumplan con los principios de integridad, confidencialidad y disponibilidad de la información”.

El instituto carece a su vez de “un plan de actualización de los equipos de impresión, reproducción y digitalización de documentos por equipos nuevos, no remanufacturados, ni reciclados para renovar los instalados que vienen prestando el servicio desde hace más de cinco años”; además de una una metodología de desarrollo de sistemas que incluya las políticas de contraseña segura en los sistemas, los procedimientos de validación de la vigencia de accesos y roles de los usuarios, la aplicación de una metodología de ingeniería de software”.

8. IMSS

Monto por aclarar: 54 millones 725,161.46 pesos

La auditoría analizó cuatro contratos y cinco convenios modificatorios, vinculados con servicios de soporte técnico y operación de infraestructura lógica y física para la planeación y pruebas de la migración de la nube del IMSS y su Plan de Recuperación en Caso de Desastres (DRP); así como el de procesamiento de información IBM. El IMSS ejerció un total de 113 millones 748,700 pesos, de los cuales debe aclarar casi la mitad.

La ASF identificó deficiencias e irregularidades en los procesos de contratación y en la administración de los contratos. El IMSS también incurrió en un incorrecto registro y clasificación de los recursos en el “Estado Analítico del Ejercicio del Presupuesto y en la Cuenta Pública 2020”.

Igual que en otras dependencias, la auditoría detectó deficiencias en la operación y administración de los controles de ciberseguridad, “que podrían afectar la integridad, disponibilidad y confidencialidad de la información, poniendo en riesgo la operación del Instituto”.

rodrigo.riquelme@eleconomista.mx