Ciberataque en Colombia: el millonario contrato de Supersalud que no alcanzó a evitarlo

El pasado 17 de agosto, la Superintendencia de Salud firmó un millonario contrato por más de 2 mil millones de pesos, con el único objetivo de analizar su seguridad digital y tomar medidas para fortalecerlas y hacer que se cumplieran en toda la entidad.

Lea además: Ciberataque a gran escala en Colombia: así es la grave situación que enfrenta el país

El acuerdo, firmado por cuatro meses con la organización Colombia Digital, deberá dejar entregados en diciembre de este año, entre otros informes  un “modelo de riesgos en seguridad digital” que muestre “el análisis de brechas entre el diagnóstico de la situación actual y el estado de la situación deseada". (Vea el contrato aquí).

Ahora, la ejecución de este contrato tendrá retos más grandes, toda vez que la Supersalud fue una de las entidades víctimas del masivo hackeo a varias entidades estatales que tiene al Gobierno y el país en vilo, dado lo delicado de los datos a los que habrían podido tener los delincuentes cibernéticos.

Pero este acuerdo no es el único relacionado con seguridad digital que este año han firmado entidades públicas en Colombia, entre ellas algunas de las  afectadas por el delicado delito informático  cuyas consecuencias analiza actuamente el Gobierno Nacional en en un Puesto de Mando Unificado.

Hasta el momento se sabe que son al menos 34 las entidades afectadas por un ataque de ‘ransomware’, modalidad en la que los delincuentes ‘secuestran’ información sensible (datos personales, cuentas, claves, etc.) y piden a cambio para 'liberarla' fuertes sumas en dinero o Bitcoins.

Lo invitamos a consultar: Las claves de ciberataque masivo en Colombia: solución tardará más de lo esperado

Este escenario  es el que actualmente está sucediendo en el país, de acuerdo con Julio Cesar Mancipe, asesor de seguridad digital y ciberseguridad de la Presidencia, al señalar que “la información  ya fue cifrada, por ende, se da con certeza que el atacante ya es propietario de esos datos”.

Esta forma de ataque cibernético ha sido sufrida por organismos y entidades de todo el planeta y son cada vez más complejos los procesos para evitarlo, tal como lo reconocó Saúl Kattan Cohen, consejero TIC de Presidencia, al afirmar que “el ataque puede ser a cientos de empresas y Colombia no tiene las herramientas para enfrentarlo".

Por ello, las entidades estatales suelen contratar especialistas que realizan un diagnóstico para detectar posibles brechas de seguridad. Este es el caso de la firma contratada por la Supersalud. Colombia Digital es una corporación de economía mixta que no es desconocida en el sector público, pues tiene amplia experiencia en servicios a ministerios y otros organismos públicos.

De acuerdo al rastreo en Secop y en el Portal anticorrupción (Paco), esta  firma  ha tenido al menos 25 acuerdo más con diferentes entidades del orden nacional, departamental y territorial.

Vea también: Ciberataque: Judicatura suspende términos judiciales, ¿qué significa y hasta cuándo va?

En el caso de Supersalud, el compromiso del contrato es prácticamente hacer un ‘revolcón digital’ en la entidad, pues desde septiembre hasta mediados de diciembre el contratista deberá entregar un plan de trabajo que incluya medidas en gobierno digital, uso de big data, apropiación de recursos y, como elemento destacado, seguridad digital.

Esto incluye, precisamente, estrategias para proteger los datos privados de la entidad con  “lineamientos en materia de seguridad y privacidad de la información, así como de gestión de riesgos de seguridad digital los cuales soportan las acciones establecidas por cada entidad para proteger los activos de información, preservando la confidencialidad, integridad, disponibilidad y privacidad de los datos”, señala la oferta de Colombia Digital.

A la fecha,  el contrato está en ejecución y terminará el 15 de diciembre de 2023. Los pagos de los montos se harán en cuatro contados mensuales que van desde los 800 millones de pesos al iniciar y 200 millones al finalizar.

Lea además: Ciberataque en Colombia: ¿cuál es la información que está en riesgo?

A la par con el de Supersalud, Colombia Digital tiene un contrato mucho más grande, por 9.495 millones de pesos, con la Defensoria del Pueblo cuyo objeto es “proveer el levantamiento, análisis, diseño, modelamiento, simulación, pruebas, documentación e implementación de 22 flujos automatizados a través de la herramienta BPM ULTIMUS de propiedad de la Defensoría”. (Vea el contrato aquí)

BPM Ultimus es un software de gestión y istración de de procesos istrativos internos de flujo de trabajo, metas y auditorías en empresas y entidades de todo tipo.

La Unidad de Datos de EL TIEMPO rastreó en el portal Secop los procesos contractuales relacionados con temas de seguridad digital  o informática que se han firmado hasta la fecha en las entidades de nivel nacional y territorial en Colombia.

En total se han firmado, entre el 1 enero y el 14 de septiembre de este año, al menos 237 contratos cuyo objeto está relacionado con seguridad digital o seguridad informática, que suman 13.156 millones de pesos.

Lea aquí:   La ciberdefensa en América Latina, entre el peligro y la indiferencia

A la fecha, de acuerdo a lo que muestra la plataforma Colombia Compra Eficiente, no hay reportes de acuerdos firmados sobre ese tema en la rama judicial del país, una de más afectadas por el ataque cibernético.

En medio de ese ejercicio se halló que tanto el Ministerio de Salud como la Superintendencia de Industria y Comercio, ambas afectadas por el ataque digital, hicieron este año inversiones para el análisis y la mejora de su seguridad en línea, actual y a futuro, aunque en contratos de menor cuantía.

En el caso de la Superintendencia, aparecen cuatro acuerdos firmados entre enero y mayo de este año que, en total, suman 120 millones de pesos. Se trata de contratos de  prestación de servicios con especialistas para sumarse al trabajo de la entidad en temas de informática forense y seguridad digital.

En el Ministerio de Salud, entre tanto, la cuantía ha sido menor. Para este año se reportaron hasta la fecha solo dos contratos en cuyo objeto está presente el tema de la seguridad digital, ambos por un valor de  56 millones de pesos.

Son por prestación de servicios, con el mismo contratista particular y su objeto es apoyar a la Oficina de Tecnología de la Información y la Comunicación OTIC, "en actividades de gestión, monitoreo y seguimiento a los protocolos y procedimientos de Seguridad Digital y Protección de Datos que hacen parte del Sistema de gestión de seguridad de la información”.

RAFAEL QUINTERO CERÓN

Editor Unidad de Datos EL TIEMPO

@TheFugazi