Advierten de posible manipulación de datos en sistema de citas de manejo y piden “auditoría forense"

Expertos contratados por la Auditoría Interna del Ministerio de Obras Públicas y Transportes (MOPT) advierten de una posible manipulación y/o eliminación de datos en el sistema de citas de manejo que está a cargo del Consejo de Seguridad Vial (Cosevi), e incluso, piden realizar una "auditoría forense".

Estas son parte de las recomendaciones emitidas por la empresa DCI Dinámica Consultores Internacional S.A. quienes estuvieron a cargo de una auditoría externa que analizó las debilidades del sistema de acreditación de conductores.

La contratación se firmó el 25 de octubre y requería el acceso a las bases de datos del sistema, sin embargo, en el Cosevi complicaron esto y tardaron más de un mes en avalar que los expertos ingresaran a los sistemas.

Esto provocó que se perdieran cuatro de las siete semanas contempladas en el contrato y a criterio de la Auditoría y la empresa a cargo, también pudo provocar que se borrara información valiosa para la investigación.

Incluso, la Auditoría del MOPT envío a finales de noviembre anterior (2021) una "Advertencia" al ministro, Rodolfo Méndez Mata, donde acusaba al Cosevi de impedir que se realizara la auditoría externa y señaló el "riesgo de promover la impunidad de eventuales actos de corrupción en el Ministerio".

Los atrasos en el acceso a las bases de datos se dieron porque Cosevi pedía garantizar la confidencialidad de los datos, parámetro que ya estaba incluido en el contrato con la empresa; sin embargo, en el Consejo a cargo del sistema de citas de manejo decidieron que debían hacer un acuerdo adicional y aprobarlo en la Junta Directiva.

"Como consecuencia de la falta de acceso a la información, ya transcurrió la mitad del plazo contractual sin que la empresa haya podido empezar con la aplicación de los análisis técnicos contratados", se advirtió al ministro en noviembre pasado.

Finalmente, el aval para ingresar a la base de datos de los sistemas de pruebas de manejo se logró a finales de noviembre y se pudo realizar el análisis que determinó múltiples debilidades y falta de seguridad en los sistemas y, además, emite la recomendación de ejecutar una "auditoría forense", así quedó establecido en las recomendaciones del informe de Auditoría de Control Interno DAG-I-33-2021 entregado en diciembre anterior a las autoridades.

"Coordinar y ejecutar una auditoría forense sobre las bases de datos de los expedientes de los conductores, respaldos y bitácoras de registros de eventos del Sistema de Acreditación de Conductores (SAC), para identificar posibles acciones vinculantes con manipulación y/o eliminación de datos, otorgamientos indebidos de servicios (citas de pruebas, acreditaciones o licencias), inconsistencias en la trazabilidad de procesamiento de la información, y cualquier otro criterio que la Auditoría considere pertinente (Riesgo Alto)", se indica en el documento del cual AmeliaRueda.com tiene copia.

Lea: “No hay plataforma que aguante”, dice Cosevi previo a liberar citas de manejo de próximos 6 meses

Hallazgos

La Auditoría externa contratada para analizar el sistema de citas de manejo reveló múltiples debilidades que ponen en riesgo la capacidad del sistema y la identificación de alertas por inconsistencias.

Para realizar el informe se hicieron reuniones de trabajo virtuales con el personal de Cosevi encargado del departamento de Tecnologías de Información y "personal clave" relacionado con los procesos de acreditación de conductores de Educación Vial.

Además, se hicieron revisiones de documentos, bases de datos y diagramas de "flujos de procesos".

Los resultados confirman que el sistema no logra satisfacer la demanda de los usuarios y que los inconvenientes se dan desde la falta de personal para aplicar las evaluaciones.

Entre los principales hallazgos del análisis se resalta la "pérdida de credibilidad de la Administración de Educación Vial y Cosevi frente al desarrollo del estudio", esto debido a los atrasos que generaron para impedir el ingreso a las bases de datos.

"Afectó negativamente la eficiencia ejecutora y el factor de oportunidad de identificar algún evento de riesgo o debilidad anticipadamente, y perder evidencias que permitiese sustentar el mismo, ya sea por actos dolosos o por limitaciones de la plataforma, siendo el SAC un sistema de información altamente sensible a nivel sustantivo y reputacional del Cosevi y de la Dirección General de Educación Vial (DGEV).

"Impactó en detrimento de la credibilidad de la Dirección Ejecutiva de Cosevi, quien durante el tiempo perdido pudo facilitar, directa o indirectamente, acciones para identificar y manipular o eliminar evidencias de actos de corrupción vinculantes con el sistema SAC y las áreas usuarias de la plataforma, y al no priorizar la formalización oportuna del Acuerdo de Confidencialidad, pudo actuar en prejuicio del cumplimiento en tiempo y forma de un estudio de Auditoría del MOPT, órgano rector en instancia superior a las Direcciones institucionales vinculantes", indica el informe.

Lea: Habilitarán sistema 24/7 para sacar citas teóricas de manejo

Otros hallazgos son la incapacidad operativa para atender la demanda, debilidades en la trazabilidad y segumiento a alertas ante un "evento no deseado de seguridad", falta de sistema que capture toda la información vinculada con la administración del servidor y posibilidades de filtración de la información.

Tras el análisis, los expertos contratados emitieron diversas recomendaciones de mejora, principalmente al departamento de tecnología del Cosevi a quienes se pide "robustecer los controles para detectar los eventos vinculantes a los procesos de seguridad de la plataforma, configurar herramientas de alertas para cuando haya comportamientos considerados "no normales" y valorar opciones de mejora en la tecnología que se utiliza.