Los protocolos de transferencias de fondos que supone seguir el Gobierno de Puerto Rico, la línea de mando para autorizarlos y otras piezas de suma importancia permanecen como un misterio, luego de revelarse que en varias agencias públicas se registró un crimen cibernético con el potencial de desfalcar un total de $4.1 millones.

A la misma vez, las acciones proactivas y reactivas del gobierno también permanecen desconocidas, aunque se reiteró que existe colaboración con el Negociado de Investigaciones Federales (FBI, por sus siglas en inglés), el cual pudo congelar las transacciones electrónicas y planifica restituir el dinero.

Entre los directivos del gobierno, además, existe una discrepancia semántica a la hora de explicar el suceso, uno que ocurrió hace aproximadamente un mes pero que no fue informado públicamente hasta días recientes.

Hacemos un resumen de lo conocido hasta ahora y resaltamos también algunos detalles que no están del todo claros.

Línea de tiempo poco transparente

El pueblo se enteró del fraude millonario el 12 de febrero, no obstante, el suceso ocurrió el 17 de enero, con un incidente relacionado que tuvo lugar en diciembre. La falta de transparencia de las entidades públicas no ha sido explicada por los directivos, pero ha sido resguardada en que se trata de procesos investigativos confidenciales.

El pasado 12 de febrero, el Negociado de la Policía dio a conocer que el director de finanzas de la Compañía de Fomento de Industrial (PRIDCO, por sus siglas en inglés), Rubén Rivera López, reportó que la agencia aprobó una transferencia de pago por $2.6 millones tras recibir un correo electrónico fraudulento. De acuerdo a las autoridades, ya estaba bajo investigación desde enero.

Día y medio después, se reveló que también se transfirieron $63,000 del Compañía de Comercio y Exportación (CCE), $1.5 millones de la Compañía de Turismo, y $234,000 de la Autoridad de Carreteras.

Te podría interesar: Todo lo que debes saber sobre el fraude electrónico al Gobierno

En conferencia de prensa, el secretario del Departamento de Desarrollo Económico y Comercio (DDEC), el ingeniero Manuel Laboy Rivera, fijó la fecha de la transacción en el 17 de enero y aseguró que el 10 de febrero recibió una llamada del FBI. En la comunicación, basado en su recuento, le ofrecieron más detalles sobre el suceso y no fue hasta el jueves, 13 de febrero que las autoridades federales le confirmaron que pudieron revertir la transacción. 

Cómo el gobierno, cuyos empleados autorizaron la transferencia, se enteraron que era un trámite fraudulento?

Laboy Rivera insistió en que, durante el plazo del 17 de enero hasta el 13 de febrero, las agencias locales realizaban diversas gestiones en conjunto con el FBI para responder a la situación. 

La Administración de Sistemas de Retiro y La Fortaleza, por su parte, recalcaron en que 'el Gobierno de Puerto Rico ha estado trabajando con las autoridades federales y estatales varios procedimientos investigativos' desde el 23 de enero, según una declaración conjunta compartida después de la comunicación policiaca.

El viernes, 14 de febrero, Laboy Rivera anunció que separó a tres empleados de sus cargos como parte de la investigación, a toda vez que el FBI incautó evidencia del Centro Gubernamental Minillas, en San Juan.

El dinero pertenecía a una cuenta de reserva con remesas de retiro del personal de las respectivas agencias. Parte de la desviación de fondos públicos incluyó la falsificación de cartas, con el timbrado oficial de las agencias para redirigir los 'pagos' a una nueva cuenta en una institución bancaria en Estados Unidos. 

Por qué mantuvo silencio por cerca de un mes sobre este problema que afecta a miles de pensionados?

Protocolos confidenciales

De acuerdo a Laboy Rivera, el dinero fue transferido al correo electrónico fraudulento sin seguirse los protocolos establecidos por el gobierno para ejecutar esta labor. 

No obstante, estos procedimientos, su cadena de supervisión y el origen de las cartas, según el Secretario del DDEC, son parte de la investigación que lleva a cabo el FBI, por lo que el Secretario no pudo contestar las preguntas con precisión ni claridad.

'Todo el andamiaje de supervisión está bajo investigación', señaló Laboy Rivera, luego de añadir que un examinador externo analizará los protocolos internos de la agencia, a la vez que la Oficina del Inspector General de Puerto Rico hará una evaluación adicional.

En la reorganización de agencias del 2019, las dependencias de PRIDCO y Turismo se integraron al DDEC, razón por la cual también se cuestionó la labor de supervisión de Laboy Rivera.

'Pero usted es el jefe de estas personas, correcto?', le preguntó la prensa.

'Pero usted es el jefe de estas personas, correcto?', le preguntó la prensa.

'Todo está bajo investigación', respondió el Secretario.

'Está bajo investigación que usted es el jefe?', se le cuestionó.

'Toda la situación está bajo investigación', subrayó. 

Cuál es el protocolo del gobierno para hacer transferencias de fondos entre agencias? Cuántos supervisores deben dar su visto bueno para que esto suceda?

Como medida inmediata, anunció que tres personas fueron separadas de sus cargos como parte de la investigación. Uno de ellos labora en la División de Finanzas de PRIDCO y otros dos en la CCE.

Por qué se separaron a esos tres empleados en específico y no a otros? El DDEC sospecha que se trata de un esquema interno?

Laboy Rivera tampoco especificó quién alertó sobre las transferencias fraudulentas ni porqué esperaron hasta esta semana para tomar medidas contra los responsables. Sumado a eso, fuera de asegurar que el dinero de los pensionados estaba a salvo, el Secretario no abundó sobre las medidas correctivas y preventivas puestas en vigor luego del evento.

'A pesar de que nuestros Sistemas de Informática no estuvieron comprometidos, he ordenado la revisión del mismo en aspectos de seguridad. En nuestro Departamento de Finanzas existen procesos de rigor para proceder con las peticiones de cambios de cuentas, los mismos, en esta ocasión, no sé no se cumplieron. Pueden tener la seguridad de que no lo tomamos a la ligera y que hay consecuencias', expresó Laboy Rivera, sin precisar cuáles son los procesos de rigor, quién exactamente los incumplió y cuáles fueron las consecuencias, si otras a las ya anunciadas.

Exactamente, qué nuevas prácticas, si alguna, se implementaron para reforzar la ciberseguridad en las agencias?

Desconocen lo que es

Los integrantes principales de la Rama Ejecutiva que se han expresado sobre el asunto han develado la discrepancia que existe entre ellos a la hora de nombrar el suceso, pese a que ocurrió hace aproximadamente un mes.

Cómo le llamamos a la transferencia fraudulenta?

La versión oficial del gobierno, según Laboy Rivera, es que se trató de un 'hackeo', pues las cuentas de correo electrónico de los empleados de la entidad fueron 'comprometidas'. El Secretario aludió a que así lo cataloga la Administración de los Sistemas de Retiro.

En cambio, en sus declaraciones conjuntas, el Secretario de Asuntos Públicos de La Fortaleza, Osvaldo Soto García y el administrador de Retiro, el licenciado Luis M. Collazo, se refirieron al delito como una 'intervención externa indebida' y un 'fraude'.

El 14 de febrero, la principal ejecutiva de Innovación e Información del Gobierno, (CIO, por sus siglas en inglés), Glorimar Ripoll Balet, por su parte, lo catalogó como 'phishing'.

El 'phishing' es hacerse pasar por una fuente confiable 'en un intento de atraer a un usuario para que entregue información confidencial como un nombre de usuario, contraseña, número de tarjeta de crédito, etcétera', según el portal de informática phishing.org.

El 'hackeo', por otro lado, conlleva aprovecharse de situaciones para obtener acceso a algo a lo que normalmente no se tiene acceso, ya sea mediante fuerza bruta o de forma digital.

Te podría interesar: Cómo se ejecutó el ataque de 'phishing' que casi le cuesta millones al Gobierno?

'Aquí no hubo un ataque cibernético desde el punto de vista de datos sensitivos del Gobierno, de los ciudadanos que han sido robados ni expuestos. […] Todo apunta a que es un caso de ‘phishing', pero hay que dar con el origen', afirmó Ripoll Balet al diario Metro.

La funcionaria, que se supone es la autoridad en asuntos de informática en el Gobierno de Puerto Rico, se enteró del suceso el 24 de enero por parte del FBI, no por las agencias en el momento en que los incidentes ocurrieron.

Múltiples investigaciones tardías

Un mes después de ocurrido, y luego de que se confirmara que los sucesos ya están bajo la lupa de la División de Robos a Bancos de la Policía y por FBI, el Departamento de Justicia y la Cámara de Representantes aseguraron que encaminarían investigaciones sobre el crimen cibernético.

A esto se suma el hecho de que Ripoll Balet aseguró que la empresa GM Security Technologies ya evaluó el asunto en Retiro cuando ocurrió en enero, mediante una investigación forense.

Cuál es el resultado de esa pesquisa que evaluó las comunicaciones electrónicas para las transferencias?

Justicia, por voz de su secretaria, Dennise Longo Quiñones, comunicó el 13 de febrero que el trámite se referirá a la Unidad de Delitos Económicos y se le asignará un fiscal para investigar.

En la Legislatura, por su parte, el presidente de la Comisión de Seguridad Pública, Félix Lassalle Toro, anunció el mismo día la radicación de una resolución para investigar el alegado fraude y adelantó que citará a ingenieros de redes de seguridad, funcionarios de las agencias que componen el Departamento de Seguridad Pública, al igual que ejecutivos de compañías de tecnología, para delinear estrategias para prevenir 'hackeos' de los sistemas cibernéticos del gobierno.

La reunión será en vista ejecutiva, o sea, a puerta cerrada.

En incidentes previos, la Cámara de Representantes y el Senado han detenido sus investigaciones en la legislatura para darle 'espacio' a las autoridades a continuar sus respectivas pesquisas. 

Del mismo modo, depende el delito, las autoridades locales han confirmado que carecen de jurisdicción para evaluar los sucesos, por lo que la bola queda enteramente en cancha del FBI.

Estas pesquisas se suman a la petición de Laboy Rivera de que un examinador externo analice los protocolos internos del DDEC y que la Oficina del Inspector General de Puerto Rico realice una evaluación adicional.

Por qué, si tienen conocimiento del delito desde el 17 de enero, y si el 23 de ese mes comenzó la colaboración con las autoridades federales, es ahora que optan por investigar?