Opinión
La solicitud de aplicar tecnologías obsoletas, la entrega fragmentada y parcial de información necesaria para elaborar ofertas serias y las contradicciones técnicas de las bases de licitación, ahuyentaron a cualquier oferente.
La licitación convocada para contratar servicios de “auditoría informática y reforzar la supervisión del sistema automatizado de distribución de demandas civiles” a los tribunales del país fue declarada desierta el 13 de noviembre, pues nadie presentó ofertas.
No parece extraño. El predicado de la convocatoria era también “fortalecer la seguridad y transparencia” del proceso de tramitación electrónica de ellas, pero la estructura técnica de la licitación fue tan feble que hacía imposible para un oferente serio satisfacer los requerimientos puesto por la entidad responsable: la Corporación Administrativa del Poder Judicial, CAPJ. Ayudó el historial de autogobierno, descontrol, yerros y omisiones de esa Corporación, pese a depender jerárquicamente de la CS, que tornaron brumosa y poco transparente la licitación, sugiriendo una sombra plausible de corrupción.
La lectura atenta de las Bases de Licitación y su convocatoria, dadas las cosas que se pidieron, sugirió desde un principio la búsqueda solo de argumentos formales para facilitar respuestas administrativas ante las numerosas críticas públicas que ha recibido el sistema de distribución de causas. En lo particular, respecto de la manipulación de su algoritmo para producir forum shopping (compra de tribunal) y obtener de manera ilegal la certeza de un resultado final favorable en un juicio. La imposibilidad de la CAPJ de entregar explicaciones coherentes y satisfactorias a esas críticas habrían sido el motivo para impulsar esta licitación, a fin de cubrir u ocultar los problemas del algoritmo y la distribución de causas.
Toda licitación pública tiene un período de aclaración de las Bases, consistente en preguntas y respuestas, que una vez concluido, pasa a formar parte de las bases mismas. Ya durante este proceso, que terminó el 5 de noviembre, quedaron claras las contradicciones y la falta de información adecuada que la CAPJ entregaría a los eventuales oferentes.
La duda que surgió en esa parte del proceso licitatorio fue ¿por qué no se exigió una propuesta orientada a la implementación de una ISO2700, que desde hace dos décadas es el estándar de seguridad para manejo de información crítica, con versiones mejoradas regularmente en el sistema, la última de 2022? La licitación no exigió ni para el sistema de distribución de causas ni los otros sistemas mencionados en ella, los controles y pruebas que posee la ISO 2700, y que son claves para garantizar la seguridad de la información.
Entre ellos: i)controles de acceso y autenticación: resguardo de los códigos fuente y acceso limitado de desarrolladores solo a módulos en que trabajan; ii) Gestión de cambios: identificar desarrolladores desde creación del código fuente con documentación e historial de modificaciones (trazabilidad. Licitación planteó GitHub y auditar código actual lo que elimina historial); iii)Pruebas de seguridad del código: manuales y automatizadas; iv) Confidencialidad y cifrado; v) Revisión de vulnerabilidades y actualización de parches; (El gestor de bases de datos solicitado Oracle 11g lo deja fuera; vi) Seguridad en el entorno de desarrollo: seguridad del entorno de desarrollo y almacén del código para prevenir accesos no autorizados y pérdida de datos; vii) Evaluación de dependencias y bibliotecas de terceros; viii) Documentación y mantenimiento; ix) Gestión de incidentes: Documentar todos los incidentes desde la puesta en marcha del sistema.
Este último aspecto es posiblemente la información más fragmentada o derechamente inexistente en el funcionamiento del sistema actual de la CAPJ que se debía auditar. Requeridos los logs (constancia de incidentes) de períodos cortos y específicos, nunca han sido entregados por la CAPJ, aunque debieran tenerlos.
Las Bases de la frustrada licitación exigieron que la auditoría a desarrollar incluyera revisión del código fuente, funciones, procedimientos, algoritmos y otros componentes del sistema de distribución de causas civiles del Poder Judicial (Punto 9 en bases técnicas), sin aclarar nunca si se pedía una auditoría dirigida solo a la revisión de códigos fuentes y nada más.
Se exigió además a los posibles oferentes que debían contar con una ISO9001 o superior, la cual está enfocada en la calidad de los procesos y no en la seguridad, a diferencia de una certificación ISO27001. Ello es una diferencia grande, pues la vulneración de un sistema informático se produce a través de varias capas que se deben certificar y auditar para evitar precisamente las vulneraciones de los sistemas. En determinados casos, las manipulaciones maliciosas avanzan y llegan hasta la base de datos para obtener y modificar información de manera maliciosa (Caso Servipag).
Para la CAPJ ello es muy crítico, pues tiene un gestor de bases de datos obsoleto, que es lo más crítico de su sistema computacional. Por ello. lo más adecuado era orientarla en materia de seguridad a una ISO27001. Sin embargo, las Bases exigieron, incluso, el uso de Oracle11g como base de datos, un sistema obsoleto y que expone los sistemas a ataques externos, limitando la capacidad de escalabilidad y rendimiento del sistema, en un contexto en el que la carga de trabajo judicial es cada vez mayor.
Depender de Oracle 11g como base de datos implica no poder escalar el sistema y riesgos graves de seguridad, pues se trata de un software obsoleto y sin soporte desde diciembre de 2020, que no recibe actualizaciones de seguridad, y que expone a quien lo tiene a vulnerabilidades sin parches y a fáciles manipulaciones.
En un entorno judicial, esta carencia de protección es un riesgo de seguridad severo. Deja todo el sistema vulnerable a ataques y pone en riesgo la integridad de los procesos judiciales. Es este riesgo el que afecta la fiabilidad del algoritmo encargado de distribuir las demandas civiles de forma automática, pues queda abierta la posibilidad de que el sistema funcione bajo intervención externa, lo que ha sido sistemáticamente apuntado por variados actores judiciales sin obtener respuestas de la CAPJ.
No se trata solo de tecnología, sino también de economía, pues incrementa los costos de mantenimiento, al requerir conocimientos específicos casi agotados en el mercado laboral. Sin soporte oficial, cualquier problema deberá ser resuelto internamente, elevando los costos de administración, fuera de los riesgos de incumplimiento en normas de ciberseguridad y protección moderna de datos. La percepción de que el sistema judicial depende de tecnología manipulable y sin protección daña inevitablemente la credibilidad del sistema de justicia.
De ahí que parece muy positivo para la transparencia y la probidad pública, en momentos difíciles del Poder Judicial, que la convocatoria a esta licitación hay sido evaluada negativamente por el mercado y se haya declarado oficialmente desierta.
