CRHOY Erick Murillo
Restaurar los servidores del Ministerio de Obras Públicas y Transportes (MOPT) que fueron hackeados durante una reciente ola de ciberataques, costará más de 750 millones de colones (₡755.102.456 para ser exactos), cerca del equivalente a millón y medio de dólares.
Así se desprende del estado del proceso 2023px-000043-0006500001 Servicio de Mantenimiento de Plataforma Tecnológica Institucional, contratado por emergencia según la Ley 8488, como parte del Proyecto de Restauración y Resiliencia de la Plataforma Tecnológica Ante Ciberataque y realizado a través del Sistema Integrado de Compras Públicas (Sicop).
Sin embargo, la licitación, mediante un procedimiento por excepción, fue declarada desierta/infructuosa, conforme a lo dispuesto en la resolución CNE-PRE-RESO-0058-2023 con fecha del 16 de marzo pasado.
Las empresas que participaron fueron Consorcio Datasys -Vinet y Nortec Consulting Sociedad Anónima.
Ante la declaratoria de rechazo al concurso, se consultó al Ministerio qué alternativas están analizando para restablecer el funcionamiento de los servidores y se está a la espera de la respuesta.
Servidores encriptados
Cabe recordar que a mediados de enero pasado, un ciberataque dejó encriptados al menos 12 servidores marca Dell en el MOPT y se desconoce cómo se accede a la información almacenada en estas computadoras.
El 17 de enero, el equipo del Centro de Incidentes Informáticos (CSIRT-CR) del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), emitió una alerta del incidente en las plataformas digitales del MOPT.
Se trataba de un ataque de ransomware que dejó una decena de servidores con los datos encriptados, es decir, no se pueden acceder hasta tanto se desencripten.
Este es el modus operandi que usan grupos cibercriminales como Hive y Conti, que piden una recompensa económica a través de extorsiones para restaurar los datos, aunque no hay ninguna garantía de que esto se concrete, a pesar del rescate que muchas veces se pide en criptomonedas.
En aquel entonces la situación provocó que incluso se solicitara no enviar ni recibir correos del dominio mopt.go.cr y varios servicios en línea para los ciudadanos se vieron afectados.
Motivos del rechazo
A pesar de que la Comisión Nacional de Emergencias (CNE) aprobó la adjudicación, posteriormente dio marcha atrás.
“Como se indica en los resultandos de la presente resolución, se realizaron dos solicitudes de verificación de la recomendación del acto de adjudicación, sean las identificadas en la plataforma SICOP con los números 0752023100900065 de las doce horas con dos minutos de fecha catorce de marzo del dos mil veintitrés y 0752023100900068 de las quince horas cuarenta y cinco minutos del dieciséis de marzo del dos mil veintitrés, respectivamente.
Por error involuntario, la Presidencia de la CNE, aprobó la primera verificación recomendación de adjudicación (número 0752023100900065), de previo a realizar el análisis de fondo de la documentación enviada por la Ministra del MICITT. Motivo por el cual se emite una nueva solicitud de verificación de la recomendación del acto de adjudicación (número 0752023100900068), esto a solicitud de esta presidencia, según costa en la plataforma SICOP”, según se indica en el documento CNE-PRE-RESO-0058-2023.
En su justificación, la CNE argumenta que “se debe tener en cuenta que la verificación de la recomendación de adjudicación no ha surtido efectos jurídicos, en el sentido que no se ha adoptado a ese momento la validez del acto de adjudicación, ya que este adquiere su firmeza hasta el momento de notificación del acto y así como de su respectivo contrato.
Puede la Administración en cualquier tiempo rectificar sus actuaciones siempre y cuando estas no sea declaratorias de derechos, como el caso en particular, dado que no se han completado los elementos esenciales para la validez del acto administrativo”, señala la resolución que deja sin efecto la adjudicación a favor del Consorcio Datasys -Vinet por $1.199.709.
Pero la razón de peso para declarar desierto el concurso fue el Oficio N° MICITT-DM-OF-193-2023, suscrito por Paula Bogantes Zamora, ministra de Ciencia y Tecnología que establece lo siguiente:
De tal manera, la CNE asegura que no puede pasar por alto la Administración lo indicado por el ente rector en la materia de ciberseguridad en este caso el Micitt, ya que el proyecto trata de un requerimiento amparado al decreto de emergencia N° 43542-MP-MICITT y su reforma Decreto N° 43645-MP-MICITT.
“Así las cosas, dicho Ministerio es el encargado de velar y verificar que las soluciones ante el estado de emergencia requeridas por las unidades ejecutoras sean las idóneas para establecer el estado normal de las instituciones, en este caso, en lo que refiere a sus sistemas de información.
Ante este panorama, la Presidencia se encuentra en la imperiosa necesidad de rechazar la recomendación de adjudicación realizada por el Comité de Adjudicaciones de la CNE, para la contratación N°2023PX-000043-0006500001, solicitud de contratación N° 0062023201600019, dado que se deben analizar nuevamente las necesidades de la unidad ejecutora, así como que, los requerimientos de la contratación satisfagan lo más acertadamente posible el interés público, de la mano con el uso correcto de los fondos públicos. Motivos por los cuales lo procedente es declarar desierto el concurso, según se desarrollará más adelante”, explica la Comisión entre las razones para rechazar el visto bueno al presupuesto.
Además, la CNE añade que aún cuando existan ofertas elegibles, como resulta en la mencionada contratación, por motivos de interés público, la Administración se encuentra en la potestad de declarar desierta una contratación.
“Lo anterior debido a que surgen elementos con los cuales no se contaba al momento de publicar la contratación, si como en sus etapas posteriores, sean los oficios emitidos por el Micitt.
Por tales motivos es que, en este acto, según se expuso anteriormente se rechaza la recomendación del comité de adjudicaciones de la CNE, y se procede a declarar la desierta la contratación, de conformidad con el Reglamento para las Contrataciones por el Régimen de Excepción y Funcionamiento de la Proveeduría institucional de la CNE”, finalizó la entidad en sus razonamientos.