Inicialmente, la caída del sistema en el Infonacot se atribuyó a un ataque externo. Pero la investigación inicial apuntaba a un sabotaje interno
La primera semana de diciembre del 2019 se cayeron los sistemas en el Instituto Fonacot. Catalogada inicialmente como una “contingencia operativa” que hizo imposible otorgar créditos y cobrar pagos en vísperas de la temporada navideña, el incidente ocurrió justo cuando la subdirección general de tecnologías de la información y comunicación transitaba por una auditoría interna.
Mientras trabajan los auditores, “se presentaron actividades que se encontraban bajo análisis que implicaron el borrado de un programa que es necesario para la realización del proceso de crédito y de un directorio en un servidor del Credere”, concluyó una investigación interna. Ese sistema enlaza en tiempo real a las oficinas y sedes regionales del instituto en todo el país, y no funcionó entre el 2 y el 8 de diciembre; no obstante, la existencia de un Disaster Recovery Plan (DRP) habilitado en una plataforma de nube híbrida.
Inicialmente, la caída del sistema en el Infonacot se atribuyó a un ataque externo. Pero la investigación inicial apuntaba a un sabotaje interno. Para dilucidar ese evento —inédito en la historia de ese organismo, dependiente de la Secretaría del Trabajo—, la Comisión Nacional Bancaria y de Valores inmediatamente exigió una auditoría forense, “misma que deberá realizarse por un proveedor que no preste algún servicio al instituto actualmente”.
La cuantía de ese fallo no era materia de la auditoría de riesgos, que detectó otros “eventos relevantes” en ese organismo, en el último cuatrimestre del año pasado. Y además de las acciones instrumentadas por Horacio Colina Fajardo, subdirector general de TIC, involucran al director general adjunto de Crédito y Finanzas, Roberto Raymundo Barrera, ambos subordinados al director general, Alberto Ortiz Bolaños.
Las observaciones recayeron sobre la creación de un Fondo de Protección de Pagos contraviniendo ordenamientos legales y los propios, además de notorias fallas en la operación del mismo.
“Durante el desarrollo de la auditoría nos proporcionaron consultas al ente regulador y diversos oficios; sin embargo, se carece de oficio de autorización expresa para utilizar un mecanismo de protección o cobertura como es el Fondo de Protección de Pagos, que sustituye al seguro de desempleo como garantía hasta por seis pagos incumplidos por el acreditado, concepto que es pagado por el propio sujeto de crédito”.
La auditoría advirtió sobre el riesgo legal, por no contar con la autorización de los reguladores, y alertó sobre la exposición “de manera incrementada a eventos de pérdida por riesgos no cuantificables derivados de desviaciones y omisiones específicamente de carácter operativo y tecnológico.
“La creación de ese fondo en el Infonacot hace que el riesgo de impacto permanezca dentro de la propia entidad, por lo que el efecto ya no es transferir el riesgo, sino aceptarlo”, destacó.
Mediante oficio DAI/273/10/2019, fechado el 4 de octubre del 2019, se notificó a las subdirecciones generales de Administración de Riesgos; de Contraloría, Planeación y Evaluación, y de Tecnología de la Información y Comunicación, además de la Dirección Adjunta de Crédito y Finanzas, del inicio de una auditoría especial en materia de riesgos.
Una revisión de tres meses, que ubicó en nivel alto de riesgo a las cuatro áreas supervisadas. La Dirección Adjunta de Crédito y Finanzas y la subdirección general de TIC fueron calificadas con un desempeño “insatisfactorio/deteriorando”, mientras que las otras dos subdirecciones generales alcanzaron el rango “satisfactorio-estable”.
“El presente documento no valida el Fondo de Protección de Pagos y tampoco deja sin efectos posibles implicaciones legales, fiscales o cualquier otra que pudiera resultar”, indican las conclusiones de la Auditoría de riesgos 04/2019.
Efectos secundarios
PROTEGIDOS. El cierre de fronteras, por la pandemia del Covid-19, podría reflejarse en intermitencias en el flujo de las mercancías que entran y salen del país, sobre todo por el reforzamiento de la vigilancia. Pero el abasto de los productos alimenticios que integran la canasta básica está garantizado en el mediano plazo, aseguró el secretario de Agricultura, Víctor Villalobos Arámbula, pues se cuentan con los inventarios suficientes para satisfacer la demanda interna.
DESOBEDIENCIAS. Los cooperativistas de Cruz Azul han exigido al empresario Víctor Garcés Rojo obedezca el mandato emitido por la sexta sala civil del Tribunal Superior de Justicia de la Ciudad de México y deje de ostentarse como vicepresidente del club deportivo. Hace un mes, los magistrados adscritos a esa instancia judicial desecharon la suspensión tramitada por Garcés Rojo, quien todavía puede acudir a la última instancia para resolver su pertenencia a la sociedad cementera, y simultáneamente deberá afrontar la denuncia presentada en su contra en la FGR, por presunto lavado de dinero, enriquecimiento ilícito y trata de personas con fines de explotación sexual.
Minuto a minuto
