Portales de transparencia: fallas, dudas y pocas respuestas

Solo se conocen algunos detalles de cómo transcurrió la caída de los portales de transparencia desde la noche del domingo 26 de noviembre de 2023. ¿Quiénes son los responsables? ¿Por qué atacaron los portales? ¿Se perdió o alteró alguna información? ¿Hubo participación de funcionarios y trabajadores de la entidad? interrogantes que aún no se responden. La actual administración ha referido que la auditoría forense será clave para resolver estas y otras dudas. 

Alrededor de las 23:00 horas del domingo 26 de noviembre de 2023, las plataformas del Sistema Integrado de Administración Financiera (SIAF), que abarcan el Sistema de Gestión (Siges), el Sistema de Contabilidad Integrada (Sicoin) y el Sistema de Información de Contrataciones y Adquisiciones del Estado (Guatecompras) dejaron de funcionar, la primera hipótesis es que se trata de un ataque cibernético.

Ante esto la Dirección de Tecnologías de la Información (DTI) aisló los sistemas y equipos del Minfin, para analizar los servidores y sistemas de seguridad informática, y así mitigar los ataques a la infraestructura. La cartera aseguró que evaluó los servicios para validar la consistencia e integridad de las bases de datos.

La mañana del 27 de noviembre usuarios de redes sociales denunciaban que no se podían ingresar al portal Guatecompras o Sicoin. Aunque, según el Minfin, las plataformas SIAF fueron activadas para acreditar recursos para nóminas, pensiones y algunos pagos a proveedores y contratistas.

El sistema del Registro General de Adquisiciones del Estado (RGAE) y Guatecompras se activaron un día después. Pero en la madrugada del 29 de noviembre, se detectó otro ataque a los sistemas, y de nuevo fueron deshabilitados de la red, para desarrollar acciones de seguridad correctivas y preventivas.

Los portales estuvieron ocho días inhabilitados y tras cuestionamientos ciudadanos, el 4 de diciembre la Dirección General de Adquisiciones del Estado (DIGAE) publicó en el Diario Oficial las resoluciones 022-2023 y 023-2023. Con estas se autorizó a las unidades ejecutoras no registrar las compras en Guatecompras entre el 27 de noviembre al 5 de diciembre de 2023. Sin embargo, cuando el sistema estuviera restablecido, debían cumplir con la normativa en adquisiciones públicas.

Según las bases de datos compartidas por el Minfin, en los dos últimos meses del año pasado, durante el periodo que abarcan las resoluciones, del 30 de noviembre al 3 de diciembre no se registraron compras o contrataciones mayores de 90,000 quetzales y el 3 de diciembre no se reportó movimiento.

Con fecha 7 de diciembre, la Contraloría General de Cuentas emitió una circular a las entidades sujetas a fiscalización para indicarles que debían implementar un control para identificar la documentación pendiente de publicación en los procesos de adquisición, según la Ley de Contrataciones del Estado. 

Es decir, hasta el 8 de diciembre, el titular de Finanzas Públicas, Edwin Martínez Cameros, en una conferencia de prensa refirió que las plataformas del SIAF (Guatecompras y Sicoin) estaban restablecidas; sin embargo, funcionaban de forma inestable. Aunque aseguró que el pago de los empleados públicos y otras operaciones con los proveedores estaban garantizados.

Los inconvenientes provocados por el «hackeo»

En los primeros días del ataque, se reportaron retrasos en los pagos a trabajadores de algunos ministerios. «Desde diciembre las municipalidades nos percatamos de que los distintos portales que utiliza el Ministerio de Finanzas para transparencia, control de la calidad del gasto tenían ciertos inconvenientes», expuso Gerson López, quien fungió como director ejecutivo de la Asociación Nacional de Municipalidades (ANAM) hasta el 31 de enero del año actual. 

En Guatecompras no se podían cargar eventos, hacer adjudicaciones o subir proyectos de bases. Para las comunas representó complicaciones en pagos y adjudicaciones, lo cual afectó los cronogramas. Con el portal del Registro General de Adquisiciones del Estado (RGAE) no se podía generar el registro. «También atrasó los procesos porque las empresas interesadas en participar en un determinado evento no podían obtener su precalificado debido a los inconvenientes», amplió López. 

Aunque para concluir el año hubo cierta normalidad en los portales, en enero de 2024 el sistema volvió a fallar. A las municipalidades les ha representado problemas para crear el registro de adquisiciones para contrataciones de servicios técnicos o profesionales en la unidad de recursos humanos. Esto ocasiona retrasos en la firma de los contratos.

A pesar de ello, en el pago de planillas, las comunas no reportaron dificultades, sólo en Guatecompras y RGAE. También el portal de Gobiernos Locales estuvo más de dos meses inhabilitado, el cual registra información sobre el presupuesto de las municipalidades, mancomunidades y empresas municipales con fondos públicos.

A criterio de López, el principal impacto que se pudo dar con esta caída es en los proyectos que se ejecutan por medio de los consejos de desarrollo departamentales, porque su ley y reglamento es claro, los saldos no ejecutados al 31 de diciembre pasan al fondo común, mientras que los fondos municipales son multianuales, no se pierden.

El supuesto hackeo y la nula respuesta del Minfin para enfrentar el problema ha dejado dudas sobre las capacidades técnicas de la entidad o el cuestionamiento de si ocurrió el ataque. Esto porque a finales del año pasado los sistemas no dejaron de operar. Por ello, es importante que se haga una revisión externa por un ente especializado y con credibilidad para dar una información precisa a la ciudadanía de lo que ocurrió esos días que los portales no funcionaron. 

«Son más de dos meses de estas deficiencias. Hay portales como el acceso a información de municipalidades que estuvieron cerrados por más tiempo, y queda la duda si realmente es que está cerrado el acceso al público o si los sistemas no están operando de ninguna manera», expresó el analista de la Asociación de Investigación y Estudios Sociales (Asíes), Erick Coyoy.

La duda es porque no se podría registrar ningún ingreso ni ningún gasto si los sistemas estuvieran totalmente bloqueados; sin embargo, las entidades sí han continuado operando con relativa normalidad. Para usuarios de los portales, la caída podría deberse a que las autoridades anteriores quizá buscaban ocultar información en las últimas semanas al frente de las entidades. Por ello, las actuales deben dejar constancia de lo ocurrido.

[embedpzp1]

Actividad irregular y nuevos accesos

En enero, la inestabilidad de los portales se mantuvo. Incluso, el 25 de dicho mes, ya con Jonathan Menkos como titular del Ministerio de Finanzas, los portales volvieron a presentar problemas. Ese mismo día la Dirección de Tecnologías de la Información y Dirección de Asesoría Jurídica respondió algunas preguntas enviadas días previos; sin embargo, aún existen dudas por aclarar. 

Dicha dirección indicó por escrito que, tras los ataques, la DTI ha tomado acciones correctivas dentro de la red como actualización de contraseñas de seguridad o aislamiento de posibles focos de infección. Además, se actualizaron los sistemas de seguridad.

Justificaron que la inestabilidad de la conexión fue por las pruebas realizadas en la red. Según la cartera, siguen teniendo ataques que intentan vulnerar la seguridad, los cuales vienen dirigidos de varios países. Estos han sido bloqueados para mitigar riesgos. Además, reiteró que no hubo alteración en los registros de las bases de datos de los sistemas gestionados por el Minfin, ya que el ataque fue dirigido únicamente a su infraestructura, y ninguna otra institución que utilice estos sistemas estuvo en riesgo.

Sin especificar de qué tipo, el Minfin ha dicho que se trata de un ataque cibernético. «A raíz del problema de hackeo a los sistemas fueron presentadas seis denuncias ante el Ministerio Público, las cuales fueron conexadas en el Expediente MP001-2023-62709, a cargo de la Fiscalía de Delitos contra la Propiedad Intelectual». 

El país había avanzado en el acceso a la información pública con los portales y herramientas del Minfin y las buenas prácticas implementadas, respecto a otros países. Sin embargo, Fernando Spross, consultor de la Fundación para el Desarrollo de Guatemala (Fundesa), refiere que las fallas en estas plataformas durante más de diez días generaron desconfianza, incertidumbre y falta de transparencia. Impactó en los procesos de fiscalización y auditoría social de gasto público que llevan a cabo algunas entidades de la sociedad civil. 

La caída de los sistemas impidió en ciertos días monitorear el presupuesto y su ejecución a través de compras y contrataciones. «Lo que hicieron fue poner como una barrera para que nadie pueda fiscalizar», criticó Manfredo Marroquín, de Acción Ciudadana, ya que no hay justificación técnica para no corregir los problemas de inmediato. Aparte, es sospechoso por ocurrir al cierre del año presupuestario y el inicio del nuevo. «La caída podría tener relación con todas las transferencias que se hicieron en el último año», cuestionó. 

[frasepzp2]

Varios entrevistados coincidieron en que de cierta forma se ha vulnerado el derecho a la información pública con las fallas de los portales. Ricardo Barrientos, director ejecutivo del Instituto Centroamericano de Estudios Fiscales (Icefi), considera que en administraciones de gobierno muy opacas o con problemas de corrupción como la de Alejandro Giammattei, a los funcionarios les cuesta asumir el acceso a la información pública como un derecho. 

Guatemala era uno de los países de Latinoamérica que más información fiscal publicaba a través de estas plataformas. Quizás no es el país que mejor la comunica, pero por lo menos sí es accesible, si se compara con El Salvador o Nicaragua, resaltó Barrientos.

A criterio de Julio Paniagua, fundador de Guate Data Suite y director de Open Knowledge Foundation Capítulo Guatemala, las fallas limitan la información de los datos públicos. En específico el Artículo 30 de la Constitución Política de la República, sobre la publicidad de los actos administrativos.

«Todos los actos de la administración son públicos. Los interesados tienen derecho a obtener, en cualquier tiempo, informes, copias, reproducciones y certificaciones que soliciten y la exhibición de los expedientes que deseen consultar, salvo que se trate de asuntos militares o diplomáticos de seguridad nacional, o de datos suministrados por particulares bajo garantía de confidencialidad».

También se ve afectado el artículo 35 sobre la libertad de emisión del pensamiento, que menciona que es «libre el acceso a las fuentes de información y ninguna autoridad podrá limitar ese derecho». 

Mientras que en la Ley de Contrataciones del Estado y su reglamento se establece que los datos contenidos en la plataforma de Guatecompras son abiertos. «En el artículo 4 bis de esa misma ley se establece que ningún funcionario público puede restringir, limitar ni bloquear el acceso a la plataforma de Guatecompras», menciona la normativa.

Aparte, existen varias políticas que el Gobierno ha implementado como acuerdos internacionales, la Política Nacional de Datos Abiertos 2018-2022, el Plan de Gobierno Digital 2021-2026 y la Alianza por el Gobierno Abierto y el 6to. Plan de Acción Nacional de Gobierno Abierto 2023–2025.

[embedpzp2]

Los bloqueos antes del ataque

Pese a que la falla de Guatecompras comenzó a sonar a finales de noviembre del año pasado, las limitaciones de información venían desde abril, cuando se comenzó a implementar CAPTCHA (medida de seguridad conocida como autenticación pregunta-respuesta) en el portal, algo que escaló.

Esas acciones hacen más lenta la plataforma a propósito. Por ejemplo, si alguien quiere analizar información de compras de bajo cuantía, se le dificulta más. Incluso afecta a firmas como Guate Data Suite, que cuentan con una plataforma que mediante mecanismos automatizados recopila datos para procesar y analizarlos.

Otra limitante que tiene Guatecompras, y otros portales son los bloqueos geográficos, ya que alguien con VPN o fuera del país no puede ingresar. Además, se apagan los servidores de Guatecompras por la noche. Por ello, Paniagua tiene previsto presentar un amparo para que se eliminen estos bloqueos y que se restablezcan y garanticen los servicios de forma continua.

Con la bandera de que hubo un hackeo, ellos están imponiendo estas restricciones que violan todos los derechos antes mencionados, objetó el experto. La Secretaría de Acceso a la Información Pública, en cuanto a la posibilidad de limitación de información por la inestabilidad de los portales Guatecompras y Sicoin, refirió que no es posible emitir un pronunciamiento, porque «para determinar una posible limitación o vulneración del derecho al acceso a la información, debe de analizarse un caso concreto».

Que las nuevas autoridades desarrollen una auditoría de los sistemas para conocer lo qué pasó es una prioridad. El diputado del partido VOS, Carlos Barreda recordó que Sicoin y el SIAF fueron un avance en los años 90 con el apoyo del Banco Mundial, al igual que la creación del Viceministerio de Transparencia Fiscal y Adquisiciones del Estado y la Ley de Acceso a la Información Pública en 2008 para implementar los portales de acceso a información en las entidades públicas.

El hecho de que el sistema no funcione bien es un retroceso porque estas herramientas han permitido a la prensa, ciudadanos, diputados y ONGs verificar el gasto público y ejecución del presupuesto. Para el diputado, una auditoría debe ayudar a descartar si hubo mano criminal o participación interna. 

Esto cobra mayor relevancia con la muerte violenta de Juan Carlos Clara del Cid, la tarde del 12 de enero en la zona 12 capitalina quien era el segundo a cargo de la Dirección de Tecnologías de la Información de Finanzas, cargo que asumió desde el 2 de mayo de 2016. Según investigación preliminar de la Fiscalía de Delitos contra la Vida y la Integridad de las Personas, Clara se habría negado a entregar su teléfono móvil durante un robo. 

Dos días después, el ministro Edwin Martínez Cameros desmintió las publicaciones en redes sociales que sugerían que la caída de los portales estaba relacionada a un supuesto desvío de recursos públicos de Q45 millones para pagos a diputados para la aprobación de tres leyes y financiar «el fraude».

Una auditoría forense en proceso

A 67 días del primer registro del ataque, el titular del Minfin, Jonathan Menkos junto a sus viceministros aseguran que se encuentran en coordinación con organismo internacionales para fortalecer los sistemas financieros y trabajar una auditoría forense de los sistemas para conocer cuál es el alcance de los ataques y si hubo pérdida de información. Explicó que la información que aparece en los sistemas tiene soportes físicos.

El Minfin cuenta con backup. La viceministra de Administración Interna y Desarrollo de Sistemas, Débora Alvarado, no proporcionó nuevos detalles del ciberataque, ya que será con la auditoría forense, que esperan empezar pronto sin especificar fecha, que se conocerá la profundidad del ataque. «Estamos hablando con un organismo para determinar cuál es la ruta para realizar el informe de auditoría. Tengo entendido que al hacer esta actividad dentro de los sistemas no va a bloquear nada», indicó.

También se trabajará en una política de ciberseguridad para disminuir los riesgos de caída de estos sistemas a largo plazo. Las nuevas autoridades también han confirmado que las fallas en el portal de Gobiernos Locales tenían relación con el ciberataque.  El viceministro de Transparencia Fiscal y Adquisiciones del Estado, Carlos Melgar, aseguró que analizarán el tema de los CAPTCHA en Guatecompras para facilitar la consulta y asegurar la ciberseguridad en el portal.

gua_19012023_eleccion_de_junta_directiva_del_congreso_2024-202520240119_0005_copia.webp

Sin normativa de protección

Guatemala, como cualquier otro país del mundo, corre el riesgo de ser atacado por grupos criminales. Y uno de los problemas que enfrenta es la falta de una ley de cibercrimen, comentó Pedro Barrera, director de ES Consulting.

Otra debilidad en el sector público es que al no haber una normativa se carece de un ente que guíe a los organismos sobre buenas prácticas en ciberseguridad. Por ello, cada entidad implementa iniciativas impulsadas por sus gerentes, directores o equipos. Una mala práctica es que una misma persona se dedica a ver todas las áreas. 

«El nivel de madurez del Estado en cuanto a seguridad en la información y ciberseguridad es bastante bajo, hay algunos organismos que son la excepción, sobre todo, los que están regulados de manera internacional», agregó. Para Paniagua, hay que ver hacia el futuro.

Se necesita una ley y mecanismos para incentivar esa protección de la data y de los servicios públicos. Ya que otro caso es la vulnerabilidad a los datos, ocurrido con el hackeo del portal del Ministerio de Relaciones Exteriores en 2023. Se divulgó datos de personas que sacaron sus apostillados.  

Guatemala está en la lupa de criminales, porque es un país que tiene poca conciencia en temas de ciberseguridad. «Haciendo una investigación con el Equipo de Respuesta a Incidentes, nos dimos cuenta de que Guatemala estaba dentro del listado de víctimas de un grupo que se llama Lazarus Group», comentó Paniagua. 

El grupo tiene como víctimas a países como Estados Unidos, México y Brasil. Entre esos grandes está Guatemala. «Ellos buscan países que les van a generar ganancias y Guatemala por lo visto está en la lupa de ellos. Eso es una bandera roja y hay que estar alertas», resaltó. 

Una lección que deja la caída de los portales del Minfin, no solo para la entidad sino para el resto de las dependencias es entender que hace falta para cumplir con buenas prácticas de seguridad de la información y la ciberseguridad, para estar preparados a futuros ataques.