CIUDAD DE MÉXICO, febrero 20 (EL UNIVERSAL).- La Auditoría Superior de la Federación (ASF) detectó irregularidades en la compra y operación de 500 cajeros automáticos del Banco del Bienestar, los cuales tuvieron un costo de 187 millones 174 mil pesos.
De acuerdo con la tercera entrega del informe de resultados de la fiscalización superior de la cuenta pública 2022, las unidades fueron adquiridas, vía adjudicación directa a Hyosung Solutions y de acuerdo con la ASF, en la investigación de mercado, no se acreditaron los parámetros utilizados en los criterios de búsqueda que utilizó el banco y no se contó con evidencia que respalde los criterios para la selección de los proveedores.
De igual forma, detalla que del estudio de factibilidad no se adjuntó el pronunciamiento favorable del Órgano Interno de Control (OIC) de la SHCP en la Herramienta de Gestión de la Política de Tecnología de la Información y Comunicación.
En tanto, no se firmaron las cartas de ausencia de conflicto de interés de los servidores públicos que participaron en el procedimiento de contratación, mientras que en relación con la póliza de responsabilidad civil, se identificó en el portal de la aseguradora que se generó un endoso; sin embargo, el banco desconoció la fecha y la razón de su emisión.
En cuanto a pagos, el documento detalla que los comprobantes fiscales de los bienes y servicios no contaron con sello o firma que acreditaran la validación de los requisitos fiscales.
En el caso de las operaciones de los cajeros, el texto muestra que el banco no verificó que los cajeros automáticos cumplieran con las normas y certificaciones requeridas, sólo solicitó al proveedor las certificaciones y no se contó con el certificado de PROSA para asegurar el cumplimiento de los estándares de seguridad y su funcionamiento.
En tanto, no se evidenciaron las pruebas realizadas a los ATM, para formalizar y acreditar el cumplimiento de los procesos y estándares de certificación requeridos.
"No se tuvo un procedimiento formalizado para establecer las actividades, responsables y alcances para la recepción de reportes y atención de fallas en los cajeros automáticos. No se contó con un proceso para validar la seguridad física ni para ejecutar pruebas de penetración y análisis de vulnerabilidades", detalla.
Por su parte, describe que se contó con una herramienta para el cifrado de los discos duros; sin embargo, ésta no fue implementada, al mismo tiempo que no se han realizado actualizaciones a la imagen maestra de los ATM desde su puesta en operación.
De acuerdo con el documento de la ASF, el proveedor no informó al banco las actualizaciones o vulnerabilidades que se tuvieron a la fecha de la auditoría en octubre 2023.
Adicionalmente, la entidad fiscalizada indicó que realizó pruebas de vulnerabilidades en los ATM; sin embargo, no presentó evidencia que lo acredite.
"No se tuvieron formalizados los controles de seguridad de "hardening" para los ATM, por lo que no se acreditó su implementación. No se demostró que la herramienta para la protección de seguridad lógica a los cajeros automáticos fuera administrada por una consola de gestión remota", añade.