La automatización de los servicios: el ejemplo de las compras públicas por medio de sistemas.

Ya para el último cambio de siglo el “problema del año 2000” o 2YK hizo que el mundo se prepara para ajustar y prevenir errores en el software, pues lo sistemas estaban hechos antes del año 2000,  por costumbre,  como si no fuese a llegar el primero de enero de 2000. Los sistemas no tenían las casillas para la nueva numeración del 2000.

Las organizaciones dependientes de sistemas invirtieron en asesorías, equipos y software, como fue el caso de la banca. Los estados de cuenta de los clientes, las conciliaciones, transacciones, todo debía continuar sin afectación, pues en el peor de los casos una  falla grave podría generar una corrida de clientes, la peor pesadilla de un banquero.

El 2YK o error del milenio no fue generado un acto deliberado, no hubo hackers detrás; aunque los riesgos eran reales: los sistemas podrían dejar de funcionar  o hacerlo forma errática.

Esa vez fue el paso del tiempo, y tal vez la falta de visión  de los programadores de software, quienes pusieron en jaque gran parte de la industria de todos los campos. Afortunadamente los efectos negativos de la llegada del nuevo siglo en los sistemas informáticos del mundo fueron menores, lejanos del Apocalipsis informático pintado por muchos gurús  de las tecnologías de información, que eran los estudiosos del problema y de la  solución, y con ello vieron llegar  grandes contratos de asesorías.

En el año 2000 al menos en Costa Rica, las compras públicas se hacían solamente por medio de proceso escritos en papeles,  actos integrados en documentos  físicos, residentes en la proveeduría de cada una de los cientos de instituciones públicas. Son tiempos recordados para los que tenemos décadas en este andar en esto, y comparados con los nuestra realidad actual, eran tiempos de procesos artesanales, arcaicos. ¿hacer una orden de compra en máquina de escribir, notificar por fax, viajar decenas de kilómetros para poder tener en las manos un expediente de papel donde se reúnen todas las ofertas y estudios, junto con cucarachas y termitas?

Afortunadamente, en los primeros años del nuevo siglo llegó el primer sistema de informático de compras públicas Compra Red en manos del Poder Ejecutivo, que fue luego superado por Merlink (hoy SICOP), no sin superar de un período de duplicidades, y sobresaltos,  donde el asunto se convirtió en botín político. Los  vencedores son los del software coreano SICOP.

Ya por medio de la reforma al artículo 40 de la Ley de Contratación Administrativa del año 2016, ante la Ley, todas las compras del Estado, en todo sus ámbitos, deben hacerse por medio de la única plataforma estatal de compras públicas. Aunque sabemos que esta decisión país incluso es pilar en la nueva Ley General de Contratación Pública (artículo 16 “Uso de medios digitales”), la tecnología, los recursos y la capacitación no llegan aún a miles de junta de educación y administrativas, asociaciones administradoras de acueductos rurales entre otros,  compradores marginados de las compra públicas electrónicas, una expresión más de la brecha digital a lo interno del Estado. Estas también son compras importantes en volumen porque, por ejemplo, un centro educativo con más de 1000  estudiantes puede gastar  más de mil millones  de colones por año en alimentos, limpieza, obras menores de mantenimiento, equipo especial para estudiantes con discapacidad,  hardware, etc. La suma de las compras de estas organizaciones  es más que interesante desde muchos puntos de vista: generan actividad para empresas pequeñas, distribuyen riqueza y satisfacen necesidades directas de las comunidades.

Lo cierto es que a hoy,  sin desconocer las falencias,  el  avance en el uso  realmente positivo, y la incorporación paulatina de la Caja Costarricense del Seguro Social a SICOP, es prueba de que con voluntad, hasta el gigante más amorfo  puede encajar en el traje ajustado, que es SICOP.

Entonces con la Ley 9395 “Transparencia de la contrataciones administrativas” del año 2016 el sistema digital unificado de compras públicas, hoy SICOP, es obligatorio, y las normativa se desarrolla aún más en el nueva Ley General de Contratación Pública.

Podríamos afirmar que ahora la compras del Estado descansan en un solo sistema informático. En él inicia la compra, y pasa todo el proceso de recepción, estudio de ofertas, adjudicación, régimen recursivo y cierra en la ejecución del contrato. Lleva el registro único de oferentes, de sanciones, vincula las cuentas de los proveedores con sus bancos, genera información valiosa y la mantiene la información  disponible  para el público por años, incluso luego de concluidos los contratos, mejorando el control ciudadano, la rendición de cuentas, generando ahorros y en general, con una mejor gestión de riesgos.

La dependencia del uso del sistema es altísima, y el ejemplo de SICOP es extensivo al sistema de pago de tributos,  de seguridad social, internet banking, registro de la propiedad y civil. Los interacciones más importantes del Estado con los ciudadanos están ya en buena parte automatizadas y depende de sistemas, del acceso a internet, hardware y conocimiento.

 Los sistemas no son perfectos ¿Qué tan vulnerable es SICOP?

 Primero que todo, y para efectos de esta reflexión,  un hackeo es la actividad que busca comprometer los dispositivos digitales, como ordenadores, smartphones, tabletas e incluso redes enteras. No siempre tiene fines maliciosos; no obstante, actualmente la mayoría de las referencias tanto al hackeo como a los hackers, los dibujan   como una  actividad ilegal por parte de los ciberdelincuentes, que incluso piden dinero como condición para cesar el ataque o sus efectos. Dicho de otra manera, el  desarrollo del conocimiento para hacer daño a los sistemas es un negocio creciente y difícil de predecir.

En el caso de Costa Rica, el 17 de abril de 2022 tuvo lugar un ataque a treinta organizaciones estatales y con gran daño e  intensidad en la últimas semanas (con efectos aún no inventariados, analizados y  dimensionados), por lo ataques exitosos a entidades de Estado como el Ministerio de Hacienda y la Caja Costarricense del Seguro Social. Por ello, identificamos a los hackers como organizaciones delictivas muy especializadas,  sin una cantidad de miembros o ubicación definida, con capacidad de generar daños y paralizar por semanas o meses, sistemas esenciales para el funcionamiento del Estado, con efectos graves en los servicios públicos, y hasta en la percepción de riesgo país, en caso de no lograr contener los ataques.

Una de las características de la situación es la incerteza y el tiempo que demora para la entidad atacada el diagnóstico   y solución del problema, actividad urgente para la cual probablemente requiere el apoyo de empresas privadas o asesores especialistas, y  de gobiernos amigos.

La amenaza se materializó en la salida de funcionamiento de sistemas tan esenciales como los de recaudación de impuestos, gestión de expedientes de salud y pago de planillas. Estos últimos con grave afectación a educadores, que luego de varias quincenas sin salario o con salario parcial, recurren al auxilio de familiares, venta de bienes y préstamos para poder atender necesidades básicas. La dimensión social del daño está pendiente de ser medida y entendida y llevada a un valor económico.

Los ejemplos de perjuicios graves, en pequeña y gran escala son interminables, y nos demuestran una realidad cruda sobre la vulnerabilidad del gobierno digital   y de la automatización de servicios.

De detenerse el sistema informático SICOP, donde interactúan en sector público y privado  para la invitación a licitaciones, presentación de ofertas, adjudicación y seguimiento de los contratos,  podrían interrumpirse cadenas de abastecimiento. Sería imposible continuar con actividades esenciales de prestación de servicios públicos, porque estos tienen una alta dependencia de proveedores. Por ejemplo, un hospital demanda miles de insumos todos los días, producidos por empresas privadas.

Una intromisión podría también alterar resultados de los proceso de compra, modificar precios ofertados, eliminar documento esenciales de las ofertas, etc.

SICOP está sujeto a riesgos. Además de su gestión por medio de la seguridad informática robusta, deben existir planes de contingencia uniformes  en el Estado, para garantizar la continuidad de las compras públicas y otras actividades esenciales, en el caso de afectación parcial  o cese de funcionamiento  de  un  sistema, gerenciado  por el Ministerio de Hacienda, el mismo que ha tenido que suspender las declaraciones y pago de impuestos por medio de sus sistemas.

Fallas del sistema  informático o humanas.

El sistema SICOP no es  perfecto, y existen muchos casos documentados de fallas, sobre lo que la discusión está pendiente. Por ejemplo, hoy se paga en el banco una garantía bancaria por medio de depósito a través de la cuenta domiciliada en el sistema; pero en SICOP no aparece la garantía como emitida. Entonces inicia un proceso de llamadas y correos por parte del empresa (que hizo el pago y puede ver el rebajo en su cuenta bancaria) para averiguar qué pasó, y la mesa de ayuda de SICOP   dice: “lo estamos solucionando”. Si  la solución al error del sistema tarda tres días podría ser suficiente para perder la posibilidad de participar de una licitación o de rendir una garantía de cumplimiento en el plazo establecido en el cartel.

Los usuarios quedamos con la duda claro está, de si lo sucedido es error del sistema como tal, humano o una mezcla. Como en la repetida historia de dinero que pierden los ahorrantes por medio del Sistema Nacional de Pagos Electrónicos (SINPE), al encontrarse con transferencias que no autorizaron. Si el usuario no fue negligente en el manejo de sus pines o medios de autenticación para uso de sus cuentas , la duda es si el dinero se está perdiendo por debilidades y errores en los sistemas informáticos del banco, hakeo al banco  o por debilidades de control interno, que permiten hacer sustracciones de la cuentas de los clientes a los empleados del banco.

Los sistema informáticos de seguridad también tiene exposición al riesgo humano, así que comprar hardware, software y asesoría no basta.

Certificación de tercera parte.

Los ataques exitosos a diferentes entidades públicas, como el Ministerio de Educación Pública, Ministerio de Hacienda, JASEC y Caja Costarricense del Seguro Social nos llevan a preguntar  las condiciones que propiciaron ataques exitosos de hakers y si  la seguridad de SICOP es más confiable; pero no hay elementos que nos permitan tener una respuesta certera por ahora. También existe en riesgo de pérdida de información y pistas de auditoría para el levantamiento forense,  si esta información  delata, por ejemplo,  la negligencia de personas con eventual responsabilidad. Son muchas las aristas.

La inquietud  sobre las condiciones en las que se dieron los ataques es más que fundada, pues sin una valoración de tercera parte, independiente,  lo que digan las autoridades administradoras del sistema no tiene credibilidad, pues defenderá a ultranza la medidas “razonables” que han tomado.

No perdemos de vista que el presupuesto es un límite para tener sistemas de seguridad informática idóneos en el Estado,   y para retener funcionarios altamente calificados, en una materia donde los salarios del  sector público puede ser poco atractivo para un experto en seguridad informática.

Lo cierto es que los todos los sistemas tienen cierto grado de vulnerabilidad, existen muchos frentes de análisis, circunstancias determinantes y potenciales  conflictos de interés.

 La relación entre el nivel de seguridad informática y  las compras del Estado.

Con la salvedad de no tener datos certeros a mano, nos aventuramos a asegurar que los bancos del Estado pueden ser los de mayor inversión en seguridad informática, por su actividad, los más propensos a ataques y más sensibles.

En ausencia de lineamientos de un autoridad estatal, cada organización hace lo que puede con lo que tiene. Algunas harán poco o nada, y otras grandes inversiones poco eficientes.

El Centro de Respuesta de incidentes de Seguridad Informática CSIRT-CR Nº 37052-MICIT creado por decreto del año 2012 podría ir ganando fuerza, a la luz de los hechos  que dan fe la urgente necesidad de una rectoría. Claro está, necesita de recursos de primer nivel, a partir de un presupuesto basado en su plan de trabajo, para no quedar en un “cascarón vacío”, como ha sido llamado.

Lo esfuerzos dispersos y la ausencia de una autoridad sobre seguridad informática creada con rango legal generan dispersión y  favorece malas prácticas. Como un ejemplo hipotético, una empresa propiedad del Estado hace una razonable inversión en hardware y software de seguridad. Sin embargo, sus funcionarios no están lo suficientemente preparados para administrar la infraestructura de seguridad, y no existen una cultura organizacional fuerte al respecto. El resultado es que la empresa estatal es vulnerada, a pesar de tener el equipamiento de seguridad apropiado, como consecuencia de una configuración  de software de monitoreo de intrusos en modo pasivo, cuando según la buena práctica,  debió estar en modo activo.

Entonces las compras públicas del Estado para respaldarse de intrusos no se limitan a la compra de un servidor, un muro de fuego o una licencia de software de seguridad. Se trata de un todo complejo, en el que la maquinaria de prevención funciona, bajo la dirección de un conocedor de la materia, ya sea funcionario público o asesor externo, a la sombra de políticas públicas claras.

Como la experiencia de lo demuestra, es un vacío por llenar en la gobernabilidad del país.

¿Pueden hacerse las compras de equipos, sistemas o asesoría de seguridad informática de forma directa, sin concurso público?

Primero de todo, debe resaltarse la necesidad de una autoridad nacional más  fuerte en materia de seguridad informática en cabeza, parece naturalmente del Ministerio de Ciencia, Tecnología y Telecomunicaciones  y  en coordinación con la nueva Autoridad de Contratación Pública, creada en el artículo 128 de la Ley General de Contratación Pública en integrada por tres ministros: Hacienda,  Planificación Nacional  y Ciencia, Tecnología y Telecomunicaciones.

Dentro de sus grandes responsabilidades de la Autoridad de Contratación Pública está, según el artículo 128, la aprobación  del Plan Nacional de Compra Pública (PNCP), el cual regirá durante seis años, la emisión de políticas y lineamientos para compras públicas.

Las compras de TI y de seguridad informática puntualmente,  se podrán ver determinadas, al menos en parte,  según la nueva Ley, por la rectoría de la Autoridad de Contratación Pública. Afortunadamente con una integración razonable, y puede tener una gran oportunidad de aportar a la gobernabilidad el país.

No obstante, siempre tendremos casos que se saldrán de la planificación, ante los cuales, incluso debe generarse lineamos sobre cómo actuar, en el marco de la Ley.

La regla general es la licitación abierta para la adquisición de bienes y servicios, porque siendo esta una necesidad constante y dinámica,  las seguridad informática debe ser parte del planeamiento de las compras públicas, del plan interanual ordenado en el artículo 8 inciso a) del  actual Reglamento a la Ley de Contratación Administrativa donde se nos habla de la justificación de la compra “considerando para ello los planes de largo  y mediano plazo, el Plan Nacional de Desarrollo, el Plan Anual Operativo”.

Una situación excepcional podría demandar compras esenciales y urgentes  para prevenir un ataque a los sistemas o palear los efectos de este.

Para situaciones excepcionales, medidas excepcionales. Cabe citar el artículo 139 del Reglamento a la Ley de Contratación Administrativa (a pocos meses de perder su vigencia), inciso k), cuando hay amenaza  o afectación en servicios públicos esenciales:

Situaciones imprevisibles: Las contrataciones necesarias para enfrentar situaciones totalmente imprevisibles que afecten o amenacen gravemente la continuidad de los servicios públicos esenciales. En estos casos la Administración podrá efectuar de inmediato las contrataciones que resulten necesarias y dejará constancia expresa de todas las circunstancias en el expediente que levantará al efecto. Dentro de este supuesto no se encuentra incluida la atención de situaciones originadas en una deficiente gestión administrativa, tales como desabastecimiento de bienes o servicios producto de una falta o mala planificación u originadas en una ausencia de control de vencimientos de contratos suscritos a plazo.

Particularmente el Reglamento al Título II de la Ley 8660 permite la contratación directa, sin que se trate de servicios públicos esenciales, en el caso de Grupo ICE y JASEC.

La nueva Ley General de Contratación Pública, no tiene una disposición  igual al artículo 139 k), y no podrán crearse contrataciones exceptuadas por la vía del reglamento. Pero mantiene la contratación de urgencia como un procedimiento especial en el artículo 66.

Luego podría analizarse en casos concretos, si caben supuestos de proveedor único o bien la compra de interés, por su escasa cuantía se podría ser  una compra directa concursada, y finalmente solicitar una autorización especial a la Contraloría General de la República. Esta última figura también desaparece con la nueva Ley General de Contratación Pública, por razones muy comprensibles: la autorización se brinda en un rango de discreción muy grande de la Contraloría, en el que ha emitido autorizaciones más que cuestionables, como la de la contratación directa concursada para un edificio prefabricado para el Ministerio de Obras Públicas y Transportes de cientos de millones, donde autorizó un plazo de tres días entre la fecha de invitación y recepción de las ofertas.

De lo anterior, en un caso de compras exceptuada de los procedimientos de compra ordinarios,  lo esencial será emitir un acto administrativo  motivado para sustentar la decisión y actuar de forma congruente con la premura. Entonces se requiere:

• Un acto administrativo especialmente motivado, suscrito por funcionario competente: Las contrataciones directas no están exceptuadas de la transparencia y rendición de cuentas, deben ajustarse a una norma  y necesidad concretas.
• Actuación congruente. Si estamos atendiendo una situación apremiante, los plazos de actuación, tanto para los oferentes como para los funcionarios de diferentes departamentos debe ser céleres. También debe existir un respaldo técnico sobre el objeto de la compra y sus características.
• Verificación de los resultados del contrato. Los resultados obtenidos de la ejecución del contrato deben ser precisos y medibles. Se debe evaluar si lo recibido es acorde a la expectativa, al contrato y al valor esperado, a cambio del precio acordado.

Conclusiones generales

1. Todos los sistemas de gobierno digital son vulnerables a ataques externos, internos, a fallos, etc. y el sistema de compras públicas SICOP debe tener especiales medidas de protección y  protocolos de emergencia para mantener la compras públicas en caso de fallas parciales o totales.
2. El Estado requiere políticas públicas y lineamientos sobre compra de tecnologías de información en general, y la seguridad informática demanda una creciente atención, incluyendo la gestión de compras en situación de emergencia. La nueva Autoridad de Contratación Pública puede llenar buena parte del vacío para una mejor gobernanza, de  la mano de un Centro de Respuesta de incidentes de Seguridad Informática CSIRT fortalecido.
3. Los presupuestos públicos deben considerar la inversión en seguridad informática basada en el valor por dinero, vigencia tecnológica y razonabilidad.
4. El dimensionamiento y cuantificación de daños por ataques informáticos iniciados en abril de este año en Costa Rica permitirá determinar, bajo una metodología apropiada, un valor económico que justifique los presupuestos de compras de seguridad informática.
5. La empresas dedicadas a la seguridad informática podrán tener mayor dinámica, luego de los ataques de abril de 2022, donde se marca un hito en la historia del gobierno digital, con oportunidades de mejora, nuevos negocios y crecimiento.
6. Las compras exceptuadas para atender situaciones de emergencia en seguridad informática deben tener un fuerte respaldo técnico y legal, en la normativa de compras públicas vigente.
7. La nueva Ley General de Contratación Pública cambia sustancialmente las reglas de las compras directas.