La información de más de un millón de personas que aplicaron al Bono Proteger, que el Ministerio de Trabajo dejó sin supervisión en manos de una empresa privada, quedó expuesta y puede ser usada con diversos fines fuera del control estatal.
Para el especialista en ciberseguridad Hernando Segura Bolaños, es peligroso que una empresa privada maneje información de carácter sensible sin que la supervise y menos la tenga en su poder el propio Ministerio de Trabajo y Seguridad Social (MTSS), como le advirtió la Contraloría General de la República (CGR).
“Los datos socioeconómicos pueden ser muy atractivos para fines mercantiles y para establecer estrategias electorales. Eso fue lo que hizo Cambridge Analytica: entender las orientaciones de pensamiento de personas y enviar material publicitario que los orientaba hacia cierto tipo de votación”, dijo el experto.
Esa información sensible hoy está en manos de la empresa Continum Datacenter, en cuya junta directiva figura como presidente el empresario Adrián Lachner Castro, quien tiene este negocio establecido en la Universidad Invenio, que goza de los beneficios fiscales dados a las zonas francas. Además aparece citado en el escándalo de los Panama Papers de 2016, por haber tenido una empresa en las islas Vírgenes. (Ver nota: “Directivos de Datacenter tiene vínculos con grandes empresas”).
“El Ministerio de Trabajo no ha ejecutado acciones para ejercer un rol activo que garantice la seguridad en el tratamiento y accesos a los datos contenidos en la base de datos, así como su debido resguardo”, CGR.
La otra figura destacada en la empresa es el connotado empresario Roberto Truque Harrington, fue director financiero de Atlas Eléctrica entre 2004 y 2008, promotor de la propuesta del Gobierno corporativo en el mundo empresarial costarricense, a quien le toca fiscalizar la labor de los demás miembros de la junta directiva de la sociedad anónima.
En esta oportunidad Continuum Datacenter firmó con el Ministerio de Trabajo un convenio para regalar el portal del Bono Proteger, el 2 de abril del 2020. Igual sucedió con la plataforma ofrecida por Horizonte Positivo para renovar y digitalizar la base de datos del Sistema Nacional de Información y Registro Único de Beneficiarios del Estado (Sinirube) del Imas y la herramienta obsequiada también por Horizonte Positivo y la Universidad de Oxford para hacer el nuevo Índice de Pobreza Multidimensional del INEC, ambas mediante convenios. (Ver nota: “Donaciones abren puerta a privados para tener acceso a bases de datos”)
Pese a que ese convenio era con el MTSS, fue remitido a la Comisión Nacional de Emergencias (CNE) el 8 de abril y autorizado por la Dirección de Gestión del Riesgo de la CNE.
Geannina Dinarte, actual ministra de Presidencia y jerarca del MTSS al momento en que se firmó el convenio, aseveró que “las medidas adoptadas durante mi gestión como jerarca del MTSS garantizan que la base de datos del Bono Proteger no sea utilizada con fines comerciales, electorales o delincuenciales”.
Sustentó ello en que el Decreto Ejecutivo N° 42305, establece que: “Los datos brindados por las personas solicitantes del Bono Proteger, en su fase captura, transporte y almacenamiento solo podrán ser utilizados por el Ministerio de Trabajo y Seguridad Social y el Instituto Mixto de Ayuda Social, para los fines particulares del trámite y otorgamiento del Bono Proteger, bajo los estándares de la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales”.
“De manera que, su único propósito fue atender a las personas afectadas por el cambio en sus condiciones laborales y/o de ingresos como consecuencia de esta emergencia, con el otorgamiento del subsidio temporal de desempleo denominado Bono Proteger”, dijo Dinarte.
Continum Datacenter es la empresa que administra la base de datos, pero el portal está hospedado en la empresa Digital Ocean, con sede en Nueva York, según documentación a la que tuvo acceso UNIVERSIDAD.
La relevancia que el Gobierno le ha otorgado a las bases de datos es tal que desde el Ejecutivo se pretendía usar recursos de un crédito por $245 millones con el Banco Interamericano de Desarrollo (BID), para comprar servicios de un data center que administre la información del Bono Proteger.
En declaraciones al medio CRHoy.com, la exministra de Trabajo Geannina Dinarte, aseguró que “en este caso probablemente sería el sector privado, porque hablamos de una mejora de sistemas. Continuum Datacenter podría ser una posibilidad”.
Por escrito, Dinarte, dijo que en marzo de 2020 recibió el ofrecimiento formal de esa empresa, en la que Lachner manifestó “disponibilidad de infraestructura de Datacenter y Centro de Continuidad de Negocios (BCS)” dentro del campus de la Universidad Invenio.
Añadió que Continum Datacenter “cumple con los lineamientos de seguridad lógica y física requeridos por el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) implementando controles para el procesamiento, almacenamiento y transmisión de datos de titulares de tarjetas o datos confidenciales de autenticación”.
Beneficiarios se escogían con algoritmo
La forma de seleccionar a los beneficiarios del Bono Proteger se hacía mediante un algoritmo incluido dentro del portal, sin que mediara la participación de funcionarios del Ministerio de Trabajo, que revisaran la idoneidad de los beneficiarios.
El representante de Continum Data Center, Adrián Lachner Castro, confirmó, mediante un correo electrónico, que no existía un control humano para el otorgamiento y explicó que la información se validaba contra datos del Sinirube, el Sistema Centralizado de Recaudación (Sicere), IMAS, Ministerio de Hacienda, Banco Central (BCCR) y el padrón del Tribunal Supremo de Elecciones (TSE).
“Por mandato del MTSS, se programa un algoritmo de prioridades, dando por ejemplo a una mujer un puntaje, al hombre otro, se dan puntos por dependientes, o por estudios más básicos, y finalmente puntos por ingresos más bajos o puntos adicionales por estar en las líneas de pobreza extrema, riesgo, etc”. De manera que ese puntaje funcionaba como un tiquete para hacer fila y solicitar el Bono, según dijo.
Este semanario consultó si el algoritmo cotejaba que el número de cuenta correspondía con los datos que las personas incluían en el formulario de solicitud, a lo que Lachner respondió que “por medio del Sistema Nacional de Pagos Electrónicos (Sinpe) del BCCR, se verificaba la identidad de la persona solicitante de acuerdo a la cédula y si tenía una cuenta en el sistema bancario nacional”.
Pese a esto, la CGR determinó que el Poder Ejecutivo habría otorgado erróneamente a personas fallecidas y a quienes no calificaban para recibir el beneficio, entre ¢11 mil y ¢15 mil millones del Bono Proteger, según la información recopilada por la entidad hasta el 31 de julio del 2020 y presentada por la contralora Marta Acosta, ante la Asamblea Legislativa.
Información sensible
A las personas solicitantes afectadas por la pandemia que aplicaron para obtener el Bono Proteger se les entregaron recursos que oscilaron entre ¢62.500 y ¢125 mil mensuales, cuando se justificaban motivos como pérdida de empleo, suspensión del contrato laboral o la reducción de su jornada de trabajo.
No todas las personas solicitantes obtuvieron este beneficio que se mantuvo en algunos casos por un mes y hasta por tres meses a lo largo de 2020, pues 240 mil costarricenses se quedaron sin recibirlo, pese a tener la aprobación, porque se acabaron los recursos, según confirmó a UNIVERSIDAD el Ministerio de Trabajo. Lo que sí recibieron fueron 724.330: 37.981 solicitudes fueron rechazadas y 34.736 personas retiraron su solicitud.
Si se suman todas estas solicitudes, que contienen información de los costarricenses, se llega a un total de 1.037.907, quienes entregaron datos sobre, nacionalidad, número de cédula, estado civil, cantidad de personas que integran el núcleo familiar, monto de ingreso antes y durante la crisis por COVID-19, condición académica, domicilio, condición laboral, nombre de la empresa para la que labora, dirección del lugar de trabajo e información bancaria.
Contraloría General señala negligencia de trabajo
Mediante un oficio enviado a la ministra de Trabajo, Silvia Lara, la Contraloría General de la República (CGR) señaló que “el Ministerio de Trabajo no ha ejecutado acciones para ejercer un rol activo que garantice la seguridad en el tratamiento y accesos a los datos contenidos en la base de datos, así como su debido resguardo”.
Además, el órgano contralor acusó una ausencia de interés y acciones concretas por parte del Ministerio para recuperar el manejo de la información.
“El Ministerio debe asumir la administración de la base de datos del Bono Proteger, de manera que pueda asegurar su integridad, conforme a los deberes que —como propietario y responsable de la misma— le han sido asignados conforme al ordenamiento jurídico vigente”, señala el informe.
Ese abandono del MTSS sobre la base de datos de Proteger también le impide asegurarse de que la información sensible será eliminada de la empresa privada, para que no pueda ser utilizada nuevamente con otros fines, ni cuenta con una estrategia clara para llevar a cabo dicha acción.
“Para el cumplimiento de la presente orden se deberá remitir a la Contraloría General de la República una certificación que acredite la ejecución de las acciones indicadas. La indicada certificación deberá remitirse al órgano contralor a más tardar el 17 de marzo de 2021”, ordenó.
“Es un trabajo mediocre”
Ante la realidad que enfrentan un millón de costarricenses con el mal manejo de sus datos sensibles, Bolaños, especialista en ciberseguridad, aseguró que el trabajo realizado por las entidades del país fue deficiente.
“Estamos enfrentando, una vez más, un trabajo mediocre en términos del aseguramiento de la integridad y la seguridad de estos activos digitales. Es muy factible que así sea, no es la primera vez que nos enfrentamos a un mal manejo de los datos”, dijo.
Segura afirmó que cuando no existen controles para asegurar la protección de la información es muy factible que esta pueda ser vulnerada y utilizada por terceras personas para un fin diferente al cual fue planeado de manera original.
“Existen miles de malos usos que información de ese tipo pueda tener. Los datos socioeconómicos o geográficos pueden ser usados para estafas. También pueden ser muy atractivos para fines mercantiles y para establecer estrategias electorales.
Eso fue lo que hizo Cambridge Analytica: entender las orientaciones de pensamiento de personas y enviar material publicitario que los orientaba hacia cierto tipo de votación. No puedo afirmar que con esta es así, pero la base de datos del Bono Proteger, cayendo en las manos de una entidad interesada, podría ser utilizada para entender comportamientos psicosociales”, detalló.
Por su parte, Lachner negó esta posibilidad y aseguró que “puedo dar fe de que la información bajo nuestra responsabilidad —es decir dentro de nuestro DataCenter en bases de datos administradas por su servidor y nuestro oficial de seguridad únicamente— no fue copiada, o utilizada para fines comerciales, electorales u otros y que existen bitácoras digitales que así lo comprueban”.
Pasaban por filtro del MTSS, dice Continum
Adrián Lachner informó que no han entregado la base de datos al Ministerio de Trabajo porque se trata de un proceso “programado para concluir a fin de este mes”. Dijo que inicialmente se programó para octubre, “luego se solicitó para principios de 2021, debido a que se extendió la ayuda” hasta el 31 de diciembre.
Destacó que el Ministerio de Trabajo y Seguridad Social (MTSS) “siempre ha tenido acceso”, que “domina” y “maneja un gestor (sistema informático) especial al igual que la configuración de qué usuarios y sus roles para tener acceso a la misma”.
El algoritmo implementado entonces generaba una lista de “candidatos”, no de pagos. Según Lachner, “esos candidatos se pasaban a MTSS y a su vez en sus sistemas internos validaban y excluían a candidatos beneficiarios de otros beneficios”. Por último, el MTSS enviaba las órdenes de pago al Ministerio de Hacienda, añadió.
Lachner detalló que además esas listas del Ministerio de Hacienda de bonos pagados eran sometidas a un control cruzado con los mismos datos originados por el MTSS.
Añadió que hubo “cientos y miles de solicitudes rechazadas porque las pidieron para depositar en cuentas que no pertenecían al solicitante”.
Lamentó que “por orden del MTSS y contra nuestra voluntad tuvimos que respaldar la base de datos completa, incluyendo teléfono y correos y entregarla fuera de nuestra tutela”, la cual “se preparó y entregó a la CGR”.
Añadió que “consideramos, al igual que nuestro abogado, que la CGR no debiera tener esa información ya que se vuelven juez y parte, y ahora lo que ellos tienen no hay forma de controlarlo, qué funcionarios y qué uso le dan” (sic).
