“El contrato ya aquí terminó, tenía ese propósito y se nos entregó esa información”, dijo Lorenzo Córdova, Consejero Presidente del Instituto Nacional Electoral (INE) el 28 de junio¹, refiriéndose al contrato celebrado entre el INE y Scitum, empresa de ciberseguridad de Carlos Slim. Sin embargo, la máxima autoridad del Instituto mintió, como lo hizo cuando aseguró que el INE contaba con el respaldo de sofisticadas agencias de ciberseguridad. La realidad es que el contrato entre el órgano autónomo y la empresa privada, uno de los más cuestionados durante el periodo electoral por la premura con la que se firmó, fue rescindido dos días antes de las elecciones a petición de Scitum, según constató PODER.
Scitum entró a hacer labores de ciberseguridad para el periodo electoral después de que el Instituto Politécnico Nacional (IPN), quien haría esos trabajos, finalizó su convenio con el INE alegando que no tenía la capacidad necesaria. En medio de secretismo, el Instituto decidió adjudicar directamente el contrato a Scitum el 5 de abril de 2018. Pero el 25 de mayo, dos días después de que este medio diera a conocer la relación previa entre Scitum y el INE y casi un mes antes de la rescisión del contrato, la empresa de Slim envió un escrito al Instituto anunciando que por convenir a sus intereses, no podría “prestar los servicios de Monitoreo en Tiempo Real de la Infraestructura de TIC de los Sistemas”, de acuerdo con una respuesta a una solicitud de información obtenida por PODER².

Sustitución de monitoreo de ciberseguridad

Córdova aseguró que el INE fue atacado cibernéticamente el día de las elecciones, fueron los “más graves de la historia electoral” y que durante todo junio recibieron más de 500 mil ataques, pero ninguno tuvo éxito. Lo que el Consejero Presidente no aclaró nunca fue que después de los fracasos del convenio con el IPN y el contrato con Scitum, no se contrató a ninguna otra empresa para realizar el monitoreo externo en tiempo real de la ciberseguridad ese día, según confirmó el INE vía transparencia³. Aunque el INE tuviera las capacidades de sustituir a Scitum, otra vez el secretismo imperó, y el Instituto decidió faltar a la transparencia en sus decisiones.
“La empresa que se ha mencionado [Scitum], es una de las empresas más prestigiadas en términos de seguridad informática que existen en el país y su propósito era hacernos un, digámoslo así, una revisión general de los sistemas para notificarnos eventuales áreas de oportunidad que no le corresponden a esa empresa subsanar, sino que se le notificaron al INE para que nuestros sistemas informáticos pudieran mejorarse y blindarse frente a cualquier tipo de hackeo o de intromisión indebida”, defendió Córdova en aquella rueda de prensa en junio.
PODER preguntó al INE con qué capacidades sustituyó las labores de Scitum, y el reto que eso representó; además de la razón de Córdova para no hablar claramente sobre la rescisión del contrato. El Instituto respondió que no daría entrevista.

Sin monitoreo

Algunas de las labores que Scitum se negó a hacer tenían relación con las elecciones del 1 de julio, como el monitoreo de la seguridad del Sistema de Registro de Representantes de Partidos Políticos/Candidatos Independientes, Programa de Resultados Electorales Preliminares (PREP), el Sistema de Conteo Rápido, Sistema de Información de la Jornada Electoral, Sistema de Cómputo Distritales y de Circunscripción, Módulo de Registro de Actas, Módulo de Cómputo Distritales y de Circunscripción y Subsistema de Consulta de Cómputos Web.
Para Aleida Pérez, directora general de Ikigai Creators, empresa en investigación y consultora tecnológica, el hecho de que no hubiera un monitoreo externo el día de las elecciones representó un riesgo para el ejercicio democrático, sobre todo en ciertos sistemas, como el de Información de la jornada electoral. En su opinión, por como se subía la información a este sistema (en texto plano), un problema a enfrentar era la posibilidad de que se colaran scripts maliciosos, por lo que era necesario hacer pruebas de captura y simulacros previo al día de la elección.
“Públicamente no se encuentran disponibles ningún manual de prevención y corrección de errores, por lo que frente a cualquier incidente, se desconoce si cuentan con los procedimientos adecuados para contrarrestar los daños o malas prácticas”, dijo la analista en seguridad informática a PODER⁴.
Córdova ha insistido en pronunciamientos públicos que el INE es dueño de toda la infraestructura electoral, y como tal, responsable de subsanar cualquier espacio por donde podría ser atacado. Sin embargo, nunca ha aclarado qué significó no tener un monitoreo externo, como al que renunciaron el IPN y Scitum.
“Se agrega la interrogante de si las áreas de la unidad técnica de servicios de informática del INE pueden cubrir completamente las necesidades señaladas el día de la jornada electoral”, dijo Pérez.
La experta concluye que “la lista de los problemas surgidos respecto a la contratación de los servicios es grande, uno de los motivos por el que estos representan un problema mayor es la ausencia de monitoreo en tiempo real de la infraestructura de TIC de los sistemas, pues el tratamiento de la información tanto de candidatos como de la ciudadanía en general requiere supervisión profesional y mantenerse protegida en caso de especificarse así, pues estamos hablando de la decisión democrática de un país”.

La rescisión

En términos contractuales no es lo mismo que un contrato sea terminado anticipadamente a que sea rescindido. Según la cláusula décima del contrato entre Scitum y el INE, el cual no se conoce por haber sido marcado como reservado por 5 años pero que la resolución a la que tiene acceso PODER cita ⁵, la rescisión sucedería si el proveedor del servicio no cumpliera con cualquiera de sus obligaciones.
Lo que Córdova aseguró en su declaración ante los medios, cuestionado sobre la supuesta solicitud de anticipar la terminación del contrato por parte de Scitum, según fuera informado por el medio financiero Bloomberg en días anteriores, fue que la empresa sí había cumplido con sus labores de servicios de ciberseguridad; sin embargo, el contrato tenía vigencia hasta el 31 de diciembre de 2018.
El propio oficio del INE, al que PODER tiene acceso, concluye que el contrato es rescindido por incumplimiento por parte de la empresa privada. Sí bien es cierto que tanto el INE como Scitum reconocen en el oficio que la firma de ciberseguridad si realizó algunas labores, como la “Auditoría en seguridad en aplicaciones, la revisión de la configuración de la infraestructura del TIC que da soporte a los sistemas y pruebas de Denegación de Servicio”, Scitum no finalizó el resto del contrato, y tampoco dio razones que justificaran su decisión de retirarse.
En un escrito enviado el 27 de junio de 2018 al INE, la empresa se mostró inconforme ante la decisión del Instituto de rescindir el contrato en lugar de declararlo terminado con anticipación. Y es que, según Scitum, la realización de los servicios que sí hizo, representó un costo de 1.8 millones de pesos. Si el contrato hubiera sido definido como terminado anticipadamente, el INE habría tenido que pagar ese monto parcial del total del contrato. La suma total sería pagada al finalizar la prestación de servicios.
La resolución del INE sobre la rescisión del contrato no deja saber si el pago se realizará o no. En cambio, indica que “no es materia de la presente resolución”. Por su parte Scitum no respondió al cuestionario enviado por PODER, para conocer sus razones para negarse a prestar el resto de los servicios y si actuó o actuará de alguna forma legal contra el Instituto.

 
—-
Lee más sobre la gestión de la ciberseguridad del INE durante el periodo electoral:
#Falso, el INE no trabaja con sofisticadas agencias de ciberseguridad
INE escondió su relación con la empresa de ciberinteligencia Scitum