Ciberataque: así se gestó el contrato de IFX Networks con Colombia
La firma prestadora del servicio de alojamiento de datos y nube contrata con el Estado desde el 2017. En el acuerdo vigente, que está previsto que termine en diciembre de 2024, intervienen otras nueve empresas.
En un documento firmado por el subdirector de Negocios de Colombia Compra Eficiente, Juan David Marín López, del pasado 14 de septiembre, el Gobierno le hizo una advertencia a IFX Networks, protagonista del que sería uno de los ataques cibernéticos más agresivos a entidades del Estado y empresas del sector privado en el país. La entidad de compra suspendería el contrato con la prestadora del servicio de nube y alojamiento de datos, en tanto no atendió a uno de sus requerimientos para conocer un informe detallado sobre lo ocurrido, habiendo sido el plazo máximo, de carácter perentorio, el pasado 15 de septiembre.
Gánale la carrera a la desinformación NO TE QUEDES CON LAS GANAS DE LEER ESTE ARTÍCULO
¿Ya tienes una cuenta? Inicia sesión para continuar
En un documento firmado por el subdirector de Negocios de Colombia Compra Eficiente, Juan David Marín López, del pasado 14 de septiembre, el Gobierno le hizo una advertencia a IFX Networks, protagonista del que sería uno de los ataques cibernéticos más agresivos a entidades del Estado y empresas del sector privado en el país. La entidad de compra suspendería el contrato con la prestadora del servicio de nube y alojamiento de datos, en tanto no atendió a uno de sus requerimientos para conocer un informe detallado sobre lo ocurrido, habiendo sido el plazo máximo, de carácter perentorio, el pasado 15 de septiembre.
El Espectador revisó el historial de la contratación entre el Estado y esa firma y encontró que presta sus servicios a varias entidades desde el 2017, sin embargo, su inspección ha sido deficiente y las obligaciones son casi que revisadas solamente por la Agencia Nacional de Contratación, con base en el cumplimiento de una serie de compromisos.
(Lea: “Cuatro ejes clave de Petro ante la ONU: ¿qué tan realizables son sus propuestas?”)
El ataque cibernético a la empresa de telecomunicaciones, reportado hace una semana, dejó a más de 69 organizaciones de inversión privada y del Estado congeladas. Sobre ese panorama, el ministro de Tecnologías de la Información y Comunicaciones de Colombia-TIC, Mauricio Lizcano, anunció en representación del Gobierno que demandarán a la compañía proveedora por ineficiencia en el almacenamiento de los datos y por bajos estándares de seguridad.
“Este no fue un ataque al Gobierno, fue a una empresa que contrataba con el Estado y que no cumplió”, dijo Lizcano sobre los perjuicios causados a Blu Radio. Al tiempo, aseguró que esperan que en los próximos días les ofrezcan una ruta clara, pues hay datos de importancia nacional refundidos. Si no establecen dicha solución, el Gobierno entraría, acompañado de otras empresas privadas y de expertos, a resolver el problema e intentar recuperar los datos.
El contrato con IFX
En los últimos tres gobiernos se le ha encargado la prestación de los servicios de nube privada a IFX Networks. En la actual administración, dicho contrato inició el 14 diciembre de 2022 y se extendería hasta el 1 de diciembre 2024, con posibilidad de ser prorrogado. Todavía no se conoce si ese acuerdo continuaría activo luego del incidente de ciberseguridad, pues Colombia Compra Eficiente lo habría suspendido en tanto es posible hacerlo precautoriamente cuando el proveedor haya incurrido en riesgos o hubiese incumplido las obligaciones.
El acuerdo es el CCE-308-AMP-2022, de consulta pública. Fue firmado entre Juan David Marín López, subdirector de Negocios de la entidad de contratación estatal, y Luis Gabriel Castellanos Marín, gerente general y representante legal de IFX. Ese convenio también incluye a otras 9 empresas para la prestación de los servicios de nube privada en distintas entidades del nivel nacional.
El valor de los servicios es dinámico, ya que la empresa los ofrece por catálogo y los pasa en órdenes de compra. La facturación es mensual y electrónica, con base en “los servicios prestados (…) aprovisionados de acuerdo con su alcance y puestos a disposición de la entidad estatal”, dentro de las condiciones del acuerdo. Se trata del alojamiento de información, backup, custodia de copias de seguridad y otros aplicativos; su valor se calcula dependiendo del nivel del servicio, que puede ser de categoría oro o plata, según lo determinó la plataforma de compras del Estado.
Cada empresa coloca sus precios y, por ejemplo, la mensualidad de una nube privada puede llegar a costar más de 100 millones, dependiendo de la empresa. “El proveedor está obligado a entregar a las entidades compradoras la cotización, el cual debe ser expresado en pesos colombianos”, se establece.
IFX ha contratado en el pasado con entidades como la Unidad para la Atención y Reparación Integral a las Víctimas, el Instituto Colombiano Agropecuario (ICA), el Instituto Colombiano de Bienestar Familiar (ICBF), los Ministerios de Salud, de Deporte, de Minas, de Cultura, entre otros. El valor ejecutado más alto, por lo menos en 2020, fue con la Agencia Nacional de Minería por $1.213.485.906, según lo dio a conocer la misma firma en el formato de experiencia, como proponente para el convenio de 2022.
La supervisión de cada una de las órdenes de compra, de la ejecución y el cumplimiento de los acuerdos está a cargo de Colombia Compra Eficiente, que actualmente es dirigida por Stalin Ballesteros García. Hay que decir que las otras empresas que están prestando el servicio de nube a entidades en Colombia son ASIC, Colsof, Cirion Technologies, UNE EPM, Claro, Colombia Telecomunicaciones, Unión Temporal Servicios, Unión Temporal Internexa en la Nube Privada y Unión Temporal Nube Privada IV.
Sobre el control e inspección del servicio, hay diversas voces que aseguran que es ineficiente. El senador David Luna (Cambio Radical) manifestó a este diario que Colombia recibió más de 20 mil millones de intentos de ataques cibernéticos en 2022 y que no se le está dando la atención que merece por “desconocimiento y desidia administrativa”.
Aunque el contrato es revisado por la entidad compradora, hay varios encargados de evitar los ataques, como el Comando Conjunto Cibernético, que depende de las Fuerzas Militares; el Centro Policial Cibernético; el Colcert y el CSIRT Gobierno. Para Luna, estas entidades vienen siendo desfinanciadas y han disminuido su personal.
(Lea también: “Martha Peralta y la polémica por el aval de su partido a Dilian Francisca Toro”)
Por ello, el senador presentó un proyecto para crear una Agencia Nacional de Seguridad Digital, que sería un ente de coordinación de las entidades existentes y el sector privado -adscrito al Ministerio de las TIC-, que dirija sus acciones a para proteger los datos. El gobierno Petro había presentado una propuesta similar en su Plan Nacional de Desarrollo (PND), sin embargo, la iniciativa se hundió por presión de la oposición. Según dijo, su negativa en ese entonces fue porque la ley se tramitaba por las comisiones económicas y como ese proyecto regularía el Habeas data, un derecho fundamental, debía tramitarse por la Comisión Primera.
Lo último que se sabe sobre el reciente ciberataque es que IFX Networks está adelantado el proceso de recuperación de los datos y que el Gobierno le pidió, en un Puesto de Mando Unificado (PMU), presentar próximamente los estados de avance, los protocolos de gestión del incidente e indicar exactamente cuál es el porcentaje de información, datos y servicios que han sido migrados a un entorno seguro. Así pues, el Estado ha transferido casi que toda la responsabilidad a la empresa, que de todas formas, lleva contratando con Colombia por alrededor de 6 años.
El ultimátum de Colombia Compra Eficiente:
👁🗨 Conozca cómo votan los senadores y representantes a la Cámara en ‘Congreso a la mano’.
👉 Lea más sobre el Congreso, el gobierno Petro y otras noticias del mundo político.