El Ministerio de Educación y Ciencias (MEC) remitió a la Fiscalía su informe de auditoría, donde figuran 330 títulos investigados, 550 usuarios no autorizados que ingresaron al sistema de registro de títulos y 13 funcionarios apartados. También se habla de 130.000 actos irregulares producidos por esos 550 usuarios.
Luis Benítez, analista de sistemas y experto en ciberseguridad, afirmó que las transacciones irregulares para títulos falsos no hubieran ocurrido si se aplicaban las medidas mínimas de ciberseguridad.
El analista señaló que en el inicio de esta denuncia se dijo que hubo una máquina que estuvo corriendo en el MEC con la cual accedían, fuera de horario, gente externa del ministerio para registrar los títulos. Puntualizó que eso da la pauta de que la infraestructura informática del MEC no está gestionada desde el punto de vista de ciberseguridad.
Lea más: Títulos falsos: Alertan sobre red que ya opera hace años
"¿Por qué? ¿Cómo se va a permitir eso? Uno que desarrolla el sistema sabe cuándo alguien estuvo usando un sistema fuera del horario. Eso es así, demasiado evidente en informática, sobre todo si es que tenés mínimos procesos de seguridad que obviamente existen para levantar estas alarmas, para justamente defenderte. Esto te da la pauta de que es un desastre la cuestión informática en el Estado porque el no tener ciberseguridad también apunta a la corrupción”, explicó.
El analista afirmó que existe una decisión política de no tener la ciberseguridad necesaria para que la corrupción pueda mantenerse y crecer en los ministerios.
“Acá estamos viendo solamente con respecto al tema de títulos, pero en otros ministerios también sucede exactamente lo mismo. Por eso no quieren invertir en ciberseguridad. Esta es una de las razones”, explicó.
Modus operandi
Benítez afirmó que el dato que debería encender las alarmas no es la cantidad de títulos, sino el método de cómo se cometieron los fraudes.
“Durante años se ingresó al sistema de registro de títulos con credenciales que seguían activas pese a que sus titulares ya no ocupaban el cargo. Alguien entraba con un código de usuario un sábado a las tres de la madrugada, fuera de todo horario administrativo, y cargaba títulos. Se contabilizan cientos de accesos indebidos y del orden de 130.000 transacciones irregulares. Para quien haya administrado sistemas, esto no describe una intrusión sofisticada: describe la ausencia total de controles básicos”, explicó.
Lea más: Sospechan que son 1.500 los casos de títulos falsos de docentes
Benítez precisó las áreas que fallaron para que esta situación ocurriera.
“La primera es la gestión del ciclo de vida de las identidades. Cuando una persona deja su función, sus accesos deben revocarse de inmediato. Que un código siguiera vivo después de que su dueño abandonara la oficina es un caso de manual de cuentas huérfanas, la puerta trasera más común y más barata de cerrar. La segunda es el mínimo privilegio junto con la separación de funciones. Un solo perfil no debería poder ejecutar de principio a fin la habilitación de un título, porque la concentración de permisos convierte cada credencial en una llave maestra. La tercera, y quizás la más grave, es la diferencia entre monitorear y solo registrar. Tener bitácoras no es tener seguridad. Un acceso a las tres de la madrugada, en día inhábil, desde un usuario que no debería estar operando, es exactamente la clase de anomalía que un sistema mínimamente vigilado detecta y alerta en tiempo real. Que estas transacciones se descubran años después, por una investigación, y no en el instante en que ocurrieron, prueba que nadie estaba mirando”, explicó.
Sostuvo que una de las señales más reveladoras del problema es que la recomendación de las instancias responsables se reduzca, en la práctica, a revisar las bitácoras.
“Revisar registros es forense, es autopsia. Sirve para reconstruir un fraude consumado, no para impedirlo. Confundir la bitácora con la defensa equivale a confundir la caja negra de un avión con el sistema que evita que el avión caiga. Automatizar un proceso podrido lo hace más veloz, no más honesto. Distintas autoridades, con el titular del Mitic, Gustavo Villate, a la cabeza, repiten que la digitalización de los procesos permitirá barrer con la corrupción incrustada en las instituciones del Estado. La promesa suena razonable, pero está mal planteada, y el caso del MEC lo demuestra con crudeza”, sostuvo.