El uso de un software de código abierto para operar el Banco del Bienestar entraña riesgos para la seguridad de éste, que se encarga de impulsar los ambiciosos proyectos sociales del actual gobierno. La decisión se tomó con el fin de ahorrar recursos públicos, pero a costa de pasar por alto una opinión previa del Comité de Tecnologías de Información del banco, de anular una licitación y de triangular recursos hacia una empresa de reciente creación sin experiencia con instituciones de crédito.
La nueva estrategia del gobierno federal de hacer uso de software libres para generar ahorros en la administración pública puede poner en riesgo las operaciones, la seguridad y la confidencialidad de la información del Banco del Bienestar, el principal dispersor de los recursos de los programas sociales.
La Presidencia de la República, por medio del coordinador de la Estrategia Digital Nacional, Carlos Emiliano Calderón Mercado, dio el visto bueno para que el cerebro del banco (core bancario) sea un software de código abierto a cargo del Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (Infotec), que pertenece a la red de centros públicos de investigación del Consejo Nacional de Ciencia y Tecnología.
Sin embargo, para la implementación del software, Infotec subcontrató a una startup (empresa de reciente creación y supuestamente con grandes posibilidades de crecimiento) creada en 2017, sin oficinas físicas ni experiencia con instituciones bancarias: Fintecheando.
La trama comenzó en octubre del año pasado, cuando el Banco del Bienestar, antes Bansefi, pidió ofertas a siete proveedores en un proceso de licitación por invitación restringida, para contratar un nuevo sistema de core bancario que soporte la operación de un banco que pretende tener 2 mil 700 sucursales (más que BBVA, con mil 834, y Santander, con mil 411), más de 30 millones de clientes y más de 20 mil puntos de acceso.
El banco recibió las propuestas, pero detuvo el concurso sin darles ninguna explicación a los participantes.
En vez del concurso, extendió el contrato que tenía con Infotec, mediante adjudicación directa, para la prestación de servicios de fábrica de software, entre ellos el mantenimiento del “data center” y el core bancario de licencia que tenía desde hace varios años, pero ya obsoleto, del proveedor Temenos, que según el IBS Intelligence Sales League Table 2019 es líder en ventas de sistemas bancarios.
En teoría, el contrato DJN-SCOF-1C.10-06-1-2019-009, por 135 millones 981 mil 256 pesos y del cual Proceso tiene copia, tendría una duración de sólo tres meses: del 14 de junio al 30 de septiembre de 2019. Pero sufrió modificaciones en dos ocasiones con el propósito de ampliar su vigencia hasta el 31 de marzo de 2020, “para no interrumpir la operación diaria del Banco del Bienestar”.
De acuerdo con el contrato registrado en el portal de compras gubernamentales Compranet, en un esquema de triangulación de recursos Infotec subcontrató a Fintecheando, SA de CV, para el desarrollo del core bancario de código abierto.
Dicho contrato para el “servicio de implementación de plataforma tecnológica de core bancario” fue otorgado por adjudicación directa y por 62 millones 514 mil pesos, con vigencia de dos meses y medio: del 16 de enero al 31 de marzo de 2020. Esa cantidad equivale a 46% del monto original del contrato del Banco del Bienestar con Infotec.
Pero al tratarse de un software de código abierto su licencia es gratuita, por lo tanto el monto del contrato sería sólo para implementarlo.
El contrato entre el Banco del Bienestar e Infotec señala que los servicios requieren de un proveedor “con un alto nivel de madurez” en sus procesos y que el licitante debe acreditar su experiencia a través de la certificación CMM1-DEV Nivel 3.
Aunque Infotec cuenta con dicha certificación, Fintecheando, encargado de implementar el software, no la tiene, como se comprobó en el registro público CMMI Institute.
Por si fuera poco, fuentes cercanas a la institución dicen a la reportera, a condición de no revelar sus nombres, que el Banco del Bienestar tiene dificultades para operar porque el nuevo software todavía no funciona e Infotec no está prestando el servicio de mantenimiento del core bancario, pese a que ambos contratos caducarán el próximo martes 31.
La intromisión
La decisión sobre el core bancario fue avalada por la Presidencia de la República por estar en sintonía con las medidas diseñadas por la Coordinación de Estrategia Digital Nacional.
El 31 de enero pasado Calderón Mercado dio a conocer el plan digital del gobierno en materia de adquisición tecnológica y dijo que la prioridad es el uso de sistemas de software libre.
Después, el 20 de febrero, Calderón envió un oficio a José Luis Mora Castro, director general adjunto de Tecnología y Operación del Banco del Bienestar, para informarle que la presidencia autorizaba la implementación de un sistema bancario de código abierto.
“En conocimiento del proyecto de migración del core bancario del Banco del Bienestar, SNC, que se realiza al interior de la institución, aprovecho la oportunidad para comunicarle que se encuentra en un momento factible para dar continuidad de manera expedita al proceso de implementación del nuevo core bancario en código abierto, que se realiza dentro de dicha institución, por parte de la dirección adjunta a su digno cargo”, se lee en el oficio CEDN/049/2020.
Y añade: “En uso de las atribuciones conferidas por el Art. 36 fracción VII del Reglamento de la Oficina de la Presidencia de la República, esta coordinación emite recomendación favorable sobre el uso de tecnología basada en soluciones de software libre, código y estándares abiertos, toda vez que se traduce en una buena práctica susceptible de implementar en materia de tecnologías de la información y comunicación, adicionalmente contribuirá a cumplir lo mandatado en la Ley Federal de Austeridad Republicana”.
Calderón se refiere al artículo 16 de la mencionada ley, según el cual es una medida de austeridad republicana priorizar el uso de software libre, siempre y cuando cumpla con las características requeridas para el ejercicio de las funciones públicas.
El funcionario tiene esas atribuciones en el banco porque en diciembre de 2019 se modificó el reglamento de la Oficina de la Presidencia para que, entre otras cosas, la Coordinación de Estrategia Digital Nacional pueda colaborar en la elaboración de las opiniones técnicas para la instrumentación de las políticas sobre el uso y adquisición de programas, bienes informáticos y tecnológicos.
Incluso se le facultó para sugerir a las unidades de administración y finanzas, así como oficialías mayores de cada dependencia, los nombramientos, ratificaciones y remociones de los titulares o equivalentes de las unidades administrativas encargadas o relacionadas con la informática y las tecnologías de la información y comunicación.
Antes de asumir esa coordinación, Calderón era un operador electoral de Morena. De 2014 a 2018 fungió como “coordinador técnico” de ese partido, según el portal Declaranet de la Secretaría de la Función Pública.
Pero de acuerdo con un documento que el INAI obligó a desclasificar a Morena, Calderón era uno de los tres integrantes del Comité de Encuestas de ese partido cuando Claudia Sheinbaum fue elegida candidata a la Jefatura de Gobierno de la Ciudad de México.
Otro de los personajes que ha seguido de cerca el tema del core bancario es Federico Cristian González Waite, quien según Declaranet es asesor de la Comisión Federal de Electricidad, pero en el Banco del Bienestar aparece en el equipo de la coordinación de Estrategia Digital.
El 29 de noviembre de 2019, en la sesión ordinaria del Comité de Tecnologías de la Información del Banco del Bienestar, González Waite presenció cuando un consejero independiente –consta en el acta– reclamó que no se priorizara la licitación, se avalara la migración de un software de licencia a uno de código libre y no se tomara en cuenta la opinión previa del comité.
Sistema inseguro
El software en cuestión es Micro Finanzas de Código Abierto (Mifos), proyecto de la Fundación Grameen, una microfinanciera y banco de desarrollo comunitario fundado en Bangladesh que impulsa el desarrollo sostenible en regiones carentes de infraestructura bancaria.
El software colaborativo Mifos se encuentra en la nube desde julio de 2010; cualquiera puede acceder a él desde su computadora. Fintecheando ofrece cursos técnicos de Mifos y es el único socio en México con licencia autorizada para ello.
En su página de internet, Mifos se describe como un proveedor de servicios para pequeñas instituciones financieras no bancarias, y no hay registro en el mundo de que haya sido usado como core bancario.
No obstante, en el apartado de clientes del sitio web de Mifos aparecen tres instituciones bancarias: Gentera de Compartamos Banco, Bank BTPN de Indonesia y WestLB de Alemania, pero lo utilizan en la implementación de productos de crédito y micropréstamos, no como core bancario.
Miguel Ángel Mendoza, especialista en seguridad informática del laboratorio de investigación de ESET Latinoamérica, dice en entrevista que uno de los riesgos del código abierto es que permite a muchas personas el acceso; alguien puede fácilmente encontrar sus vulnerabilidades y atacarlo.
Y si bien esto puede suceder lo mismo con el software de uso libre y el de licencia, explica que en caso de ataque, quienes desarrollan el software propietario “trabajan todo el tiempo para solucionar la falla, emitir un parche o una actualización para mitigar el riesgo; con el software libre estará a la espera de que la comunidad desarrolladora corrija la falla”.
El analista Andrés Velázquez Olavarrieta, presidente y director de la empresa de ciberseguridad Investigaciones Digitales de MaTTica, señala en entrevista que un software de código abierto requiere de una gran capacidad técnica para administrarlo.
“Tiene que ver con la administración de riesgo. En un banco la cuestión más importante es el core bancario, obviamente el core bancario se comunica con una base de datos. Esos dos elementos en muchos casos se convierten en críticos para la organización, y su correcta administración, así como el correcto desarrollo de la plataforma, puede ayudar en que disminuyan los riesgos.”
Oficina fantasma
Un edificio de siete pisos abandonado y sin computadora alguna, ubicado en la calle Enrique Ibsen, en Polanco, es la dirección con la que Fintecheando se presenta en LinkedIn y en la página de Mifos Initiative en Argentina.
Al escribir “Fintecheando” en el buscador de Google aparece el mismo domicilio con la leyenda “el lugar no existe”, acotación de algún usuario.
La dirección real de esta startup, que aparece en la página de Mifos.org, es en la calle de Félix Parra, alcaldía Benito Juárez, en un espacio de coworking diseñado para emprendedores.
De acuerdo con su acta constitutiva ante el Registro Público del Comercio, los socios son Víctor Romero, Abraham López, Óscar Armas y Andrómeda Hernández, que constituyeron su empresa en 2017 con un capital social de 50 mil pesos, 12 mil 500 cada uno. Según el acta, su objeto social va desde arreglar laptops hasta desarrollar inteligencia artificial.
La reportera buscó al CEO de Fintecheando, Víctor Romero, para conocer su experiencia en la implementación de Mifos, porque apenas el pasado 10 de febrero de 2020 uno de sus ingenieros preguntó a los desarrolladores del software cómo configurar dos préstamos con dos cuotas específicas. Romero no respondió a la solicitud de entrevista.
El Banco del Bienestar también se negó a dar una postura a Proceso, pese a la insistente solicitud de una entrevista. Infotec contestó que daría trámite a la petición, pero hasta el cierre de esta edición no concretó nada.
Fintecheando se describe como una empresa con 10 años de experiencia en trabajo con bancos nacionales y extranjeros, pero no dice cuáles son. La única pista es una publicación del 27 de diciembre de 2018, en la que Mifos agradeció a Fintecheando por acercarle un nuevo cliente: Conserva, una sociedad financiera de objeto múltiple, para ayudar con microcréditos a emprendedoras.
Fintecheando ha desarrollado aplicaciones para Android como Cursos de Verano de Universum, una para medir la glucosa (Pro Diabetes) y dos para conductores de automóviles.
