Contraloría alerta sobre la seguridad de los datos del Registro Civil
03.02.2009
Hoy nuestra principal fuente de financiamiento son nuestros socios. ¡ÚNETE a la Comunidad +CIPER!
03.02.2009
Una nueva auditoría detectó fallas en el resguardo de la información personal de todos los chilenos: ex funcionarios que mantienen claves de acceso a los datos, riesgo de fuga de información e ingresos a los servidores que no quedan registrados. Hace un mes, la Contraloría ya había cuestionado la falta de vigilancia en los registros de condena. En dicho informe, se reveló también la existencia de contratos de asesorías irregulares, algunos de los cuales se incluyeron en la formalización por fraude al fisco del ex director Guillermo Arenas, quien está detenido desde el sábado pasado.
El recién nombrado director del Registro Civil e Identificación, Christian Behm, tendrá una dura tarea cuando asuma el próximo 1 de marzo. Liderará un servicio sacudido por el escándalo de irregularidades en la anulada licitación de plataforma tecnológica que había ganado la empresa TATA, la que deberá relanzar, además de culminar la licitación del sistema de identificación (cédulas y pasaportes). Como si fuera poco, tendrá que corregir una serie de deficiencias en la seguridad de la información que maneja el Registro Civil, detectadas por la Contraloría en una auditoría que culminó el 28 de enero.
Pudo encontrarse con un panorama aún más oscuro. El informe inicial de la Contraloría detallaba graves falencias en las políticas y procedimientos de control relacionados con las tecnologías de la información y comunicaciones, vinculadas a los contratos que actualmente manejan las empresas Sonda y Adexus. Sin embargo, las autoridades del Registro Civil pudieron replicar y aclararon muchas de las observaciones (que seguirán siendo monitoreadas por la Contraloría), aunque sí mantuvieron preocupantes cuestionamientos a la forma en que se manejan los datos personales y privados de todos los chilenos.
Quizás la falla más grave esté en la forma caótica en que el servicio administra las cuentas de quienes tienen acceso a la información almacenada digitalmente. Al momento de realizarse la auditoría, se registraban 24.725 cuentas de usuarios, de las cuales 5.000 no tenían ninguna restricción de horario. En su respuesta, el Registro Civil disminuyó el número a 4.382 usuarios que pueden acceder al sistema durante las 24 horas, además de limitar a 15.591 el total de las cuentas activas. Lo anterior revela que hasta 2008 había cerca de 9.000 usuarios que debían ser cancelados.
El problema puede deberse a otro de los cuestionamientos de la Contraloría, que al intentar conciliar a los usuarios registrados con el personal listado por Recursos Humanos, obtuvo una concordancia de sólo 24%. “Por lo tanto, no es posible descartar la existencia de cuentas de usuarios pertenecientes a personal externo al servicio”, concluye el informe.
En otro acápite, se agrega que la expiración de las cuentas de los funcionarios desvinculados del servicio se realiza de forma extemporánea, detectándose que sólo el 10% de estos usuarios se encuentran en estado “cerrado”. En su réplica, el Registro Civil precisa que de 30.087 cuentas, 14.496 están cerradas y que 2.167 fueron caducadas durante 2008.
Además, el ente contralor cuestiona que haya usuarios externos al Registro Civil con privilegios de administrador, pese a que sólo deberían poder hacer consultas. En este caso están el Ministerio de Relaciones Exteriores y Gendarmería, entre otros. Dentro del mismo servicio, también hay personas con acceso completo al sistema aunque sus labores están restringidas a ámbitos específicos.
En su respuesta, el Registro Civil asume el problema y culpa a la antigüedad de plataforma informática, que no ha podido ser modernizada. Aunque no lo dice, dicha plataforma es la que Adexus administra desde 1993 y cuya licitación ha fracasado ya tres veces, la última de las cuales fue en marzo de 2008, luego de que CIPER denunciara que el asesor Andrés Contardo, trabajaba paralelamente en la empresa ganadora, TATA Consultancy Services y en el Registro Civil. Una nueva licitación fue anunciada en diciembre pasado.
El servicio reconoce que ha tenido dificultades en mantener actualizado el número de cuentas debido a la alta rotación de personal entre oficinas y funciones. Si bien se han adoptado medidas al respecto, se explica que los resultados han sido lentos. Para solucionarlo, anuncia un informe mensual de usuarios activos que deberá ser chequeado por cada jefe, lo que funcionará a partir del segundo semestre de 2009. Durante el año pasado se avanzó en la regularización de cuentas, que actualmente se distribuyen en 13.298 asignadas a funcionarios del Registro Civil y 2.293 a entidades con las que se tiene convenios de colaboración.
Respecto al acceso externo un sistema llamado “monito web”, que permite que 136 instituciones como el Sename o las municipalidades consulten información como defunciones o fecha de nacimiento, entre otros datos personales, se detectó que hay un registro parcial de los accesos mediante correos electrónicos y sin antecedentes de cierre de los mismos. Ante esto, el servicio se comprometió a normar la asignación de cuentas durante el segundo semestre.
La falta de seguridad en el manejo de los usuarios que tienen acceso a la información del Registro Civil se suma a la ya detectada en una auditoría especial de la Contraloría revelada hace un mes, donde se alertó de falencias similares en los usuarios que acceden al registro de condenas.
Otro de los riesgos que preocupan a la Contraloría es que los controles asociados a las teconologías de la información no tienen mecanismos que impidan la fuga de información por parte de funcionarios. Éstos pueden emitir documentos con información sensible, tales como posesión efectiva, certificado de antecedentes, de dominio o informes de direcciones, a personas no autorizadas.
El Registro Civil asume que efectivamente no se puede garantizar que la información sea entregada al dueño de ésta. Como solución, en la nueva licitación de integración de plataforma tecnológica, se exigirá que la identidad de las personas se certifique a través de reconocimiento dactilar. El servicio aprobó además una solución (no especifica cual) para disminuir el riesgo de fuga, que no se ha aplicado por problemas presupuestarios.
Como al final es un funcionario el encargado de entregar la información, el servicio aclara que siempre quedará ahí una brecha que depende exclusivamente de esa persona.
Pero para la Contraloría el riesgo de fuga no está sólo en el Registro Civil, sino también en Carabineros e Investigaciones, que tienen acceso a una aplicación web que “entrega información sensible de todos los ciudadanos” para el apoyo de la Reforma Procesal Penal.
El servicio concuerda con el riesgo, pero aclara que en su momento “realizó los reparos pertinentes por la cantidad de información que se entregaría a través de esta aplicación, sin embargo, los fines que pretendía cumplir ameritó su puesta en producción”. Como resguardo, hay información detallada de las acciones de cada usuario, las que de hecho han sido solicitadas por la Policía de Investigaciones. Ésta tiene cuentas de usuarios, las que sólo a futuro se habilitarán para Carabineros.
Uno de los contratos auditados es el que la empresa tecnológica SONDA se adjudicó en 2001 para la fabricación de cédulas de identidad y pasaportes y que actualmente está siendo licitado nuevamente. El 23 de abril pasado, la Contraloría fue hasta la fábrica de los documentos, en calle Catedral, detectando que los empleados de la empresa encargados de la confección de cédulas y pasaportes están en el mismo espacio físico que el servidor de la base de datos que almacena la información.
Aunque los separa un cristal, para la Contraloría se trata de una división insuficiente, pues puede quebrarse y afectar el funcionamiento. Por eso dice que el servicio deberá buscar la forma de separar al personal de la fábrica “por constituir un riesgo de accesos indebidos al servidor de bases de datos”.
La seguridad física de la sala de servidores del Registro Civil también es motivo de preocupación para la Contraloría, entre otras cosas porque los funcionarios entran con una clave pero su acceso no queda registrado.
La Contraloría dedica un largo acápite al registro de vehículos motorizados, indicando numerosas falencias y errores en el sistema computacional. Particularmente llamativo resulta el caso de los autos robados, pues se detectó que es posible transferir su propiedad. La respuesta del servicio es legal: la información de encargos por robo de Carabineros sólo se puede usar para advertir a los ciudadanos a través del certificado de anotaciones vigentes, pero no puede impedirse ni la venta ni la transferencia.
De todos modos la advertencia no es tan eficiente, pues la auditoría señala que los reportes de Carabineros se realizan sin una periodicidad fija, pudiendo ocurrir varias veces al día o cada once días.
La primera auditoría de la Contraloría, entregada el 30 de diciembre pasado, había sido particularmente dura con la gestión del ex director Guillermo Arenas. Se cuestionaron desde los gastos de representación utilizados en restaurantes hasta contratos con asesores cuya labor no pudo confirmarse. Este último punto alimentó la arista judicial, pues el 21 de enero la fiscal Alejandra Godoy pidió la formalización de Arenas en base a 14 de estos asesores, divididos en 155 contratos en los que se imputó fraude al fisco. Lo acusó del mismo delito por dos contratos firmados con la Universidad de Santiago.
Si bien en esa oportunidad el Séptimo Juzgado de Garantía de Santiago no aceptó la solicitud de detención de Arenas, esta decisión fue revocada el sábado pasado por la Octava Sala de la Corte de Apelaciones de Santiago. Desde entonces Guillermo Arenas está recluido en el anexo Capitán Yaber.
La decisión del tribunal de alzada fue adoptada debido a la serie de escuchas telefónicas que demostraron que Arenas se comunicó con otros imputados en el caso para coordinar declaraciones ante la Fiscalía y por lo tanto estimó que mantenerlo en prisión es “indispensable para el éxito de la investigación”.
La resolución judicial es dura con el rol de Arenas en el caso: “A juicio de estos sentenciadores se está frente a una situación particularmente grave por cuanto quien aparece como responsable del mismo es el más alto funcionario del Servicio del Registro Civil, personero depositario de la confianza no sólo de las máximas autoridades del país –que lo designaron- como de toda la ciudadanía. De esta manera el imputado al violar la confianza otorgada incurre en un acto que manifiesta un desprecio hacia la estructura legal del país como del Estado de Derecho”.
Al formalizar a Guillermo Arenas, la fiscalía lo acusó de fraude al fisco por $636 millones, de los cuales $400 millones dicen relación con dos contratos firmados con la Universidad de Santiago (Usach). Según la fiscalía, el único informe entregado fue el relativo al rediseño institucional y fue copiado íntegramente de un estudio realizado por los propios funcionarios del Registro Civil. La segunda asesoría nunca se habría concretado. El objetivo era confeccionar las bases de la licitación de la plataforma tecnológica, pero al momento de firmar la extensión del convenio éstas ya estaban publicadas en Chilecompras.
La segunda arista de formalización se centró en los 14 contratos de asesores a honorarios que prestaron servicios durante la gestión de Arenas y quienes no habrían realizado labor alguna para el organismo. Por este capítulo, el abogado PPD también fue formalizado por fraude al Fisco reiterado, con un perjuicio de más de $ 236 millones en grado consumado y otros $ 31 millones en carácter frustrado.