Desorden interno en Cosevi dificulta auditoría forense sobre pruebas para licencia

El desorden interno con el que se maneja en algunos casos la gestión de citas para pruebas teóricas y prácticas de licencia dificulta la auditoría forense que contrató el Consejo de Seguridad Vial (Cosevi) para esclarecer posibles irregularidades a lo interno de la entidad y de la Dirección General de Educación Vial (DGEV) del Ministerio de Obras Públicas y Transportes (MOPT).

La institución promovió, a través del Sistema Integrado de Compras Públicas (Sicop), una licitación reducida por un monto superior a los $62.452 que fue adjudicada a la empresa Sisap Infosec S.A., cuyo nombre comercial es Sistemas Aplicativos S.A. y que se enfoca en servicios de ciberseguridad.

La contratación se abrió el 17 de enero de 2023, luego de que en los primeros meses de la Administración Chaves Robles (2022-2026) se advirtiera sobre la posibilidad de que funcionarios participaran en esquemas enfocados en la "venta" de citas para las pruebas de licencia.

La adjudicación quedó en firme el 16 de marzo, el contrato quedó en firme el 23 de ese mismo mes y la orden de inicio se pactó el 12 de abril de 2023. En principio, el análisis debía efectuarse en 2 meses, pero tras varias solicitudes de prórrogas, el contrato se extendió hasta diciembre.

¿Por qué el desorden interno obstaculizó el adecuado desarrollo de la auditoría? María Eugenia Torres Salazar, representante legal de Sisap Infosec S.A., indicó en un oficio remitido a Cindy Coto Calvo, directora ejecutiva de Cosevi, que existieron limitaciones para establecer la "causa/raíz" de algunas de las anomalías detectadas.

"Comprendemos la necesidad de la administración de identificar las causas de los hallazgos. No obstante, en algunos casos, esto resulta inviable debido a la ausencia de registros (bitácoras) esenciales y/o la no adherencia a las mejores prácticas en la gestión y custodia de los activos informáticos. Así, si bien podemos identificar qué ocurrió, el cómo permanece indeterminado en ciertas circunstancias", puntualizó Torres, en el documento fechado el 7 de diciembre pasado.

En esa misma línea, Sisap enfatizó en que durante el desarrollo de la auditoría suministraron informes preliminares y reuniones virtuales donde advirtieron "sobre los desafíos inherentes a la determinación definitiva de la causa/raíz debido a las limitaciones en la disponibilidad de datos".

El Cosevi solicitó a la empresa un "informe integral" de todos los hallazgos detectados, en el cual se identificara la "causa/raíz" de los eventos descritos en el análisis. Sin embargo, la compañía detalló que "basándonos en las evidencias disponibles y, en la medida de lo posible, (se) determinará la causa/raíz de los eventos. En aquellos casos donde la información y las evidencias sean insuficientes, no podremos concluir o determinar causas de forma definitiva".

Sisap Infosec apuntó que el trabajo como auditores se basa en evidencias e información concretas y que "manteniendo una postura ética y profesional, se abstendrían de formular suposiciones o conclusiones no respaldadas por datos fidedignos y documentados".

"Nuestros informes incluyen recomendaciones para optimizar la gobernanza de la información de acuerdo con las mejores prácticas. Si se implementan, estas podrían proporcionar a Cosevi la información necesaria para esclarecer las causas/raíces de los problemas identificados", advirtió la empresa.

Los análisis se centraban en el Sistema de Acreditación de Conductores (SAC) administrado por el Cosevi, el cual gestiona los cupos para las pruebas teóricas y prácticas cuyas aprobaciones son requisito para obtener la licencia de conducir.

¿Por qué se requería una auditoría forense? Según la institución, se identificó la necesidad de contratar los servicios de "investigación y análisis forense digital" para la evaluación del SAC, y "determinar si presentaba vulnerabilidades o si permitía algún tipo de acceso no autorizado" y si, particularmente, se registraban ingresos indebidos a los módulos relacionados con la matrícula de evaluaciones teóricas y prácticas, "ya sea por medios automatizados o usuarios internos o externos".

En años recientes, la gestión de las citas para las pruebas prácticas y teóricas, aplicadas por la DGEV, fue un dolor de cabeza para los usuarios y para la Administración. Tras la pandemia, obtener espacios se convirtió en un martirio debido a que en cada ocasión en que se habilitaban cupos, la plataforma colapsaba o las citas se acababan con celeridad.

El actual gobierno (Chaves Robles, 2022-2026) apeló a alternativas provisionales como extender los horarios de atención en las sedes de la DGEV, la habilitación extraordinaria de espacios y la puesta en marcha de un programa para agilizar el desarrollo de las pruebas prácticas.

Para el Cosevi, se requería una auditoría en la que se extrajeran eventos, bitácoras y registro de sistemas operativos, sistemas de seguridad, equipos de cómputo necesarios y de toda la infraestructura tecnológica que conforma el servicio (on premise o cloud). Con esto, se procuraba determinar la causa de los eventos descritos en el objetivo de la contratación.

Obstáculos repetidos

En octubre de 2021, el MOPT contrató una auditoría externa para fiscalizar el SAC y el sitio web de citas.

La cartera adjudicó a la empresa DCI Dinámica Consultores Internacional S.A. el análisis mediante una contratación directa por más de ₡5.4 millones.

En un documento publicado en diciembre de 2021, la compañía denunció obstáculos internos en el ministerio y el Cosevi para efectuar adecuadamente el análisis.

Años atrás, en cada liberación de citas teóricas y prácticas de manejo los interesados denunciaban que en cuestión de segundos los cupos se agotaban que, y luego se revendían en redes sociales, aunque en algunos casos se trataba de estafas.

Las personas, desesperadas por obtener una licencia para trabajar, terminan siendo engañadas por estafadores y los que no acaban timados, obtienen el campo tras pagar altas sumas de dinero.