IBM se embolsó más de 1,5 millones de euros por la web de vacunación de la Generalitat de Cataluña que falla. La tecnológica recibió un encargo sin concurso del Gobierno catalán para la plataforma de cita previa que ha sido hackeada, revelando información confidencial de los ciudadanos, y que ayer dio fallos de nuevo.
Han alertado de ello fuentes del mercado apuntando a la licitación CTTI-2021-55 [ver aquí], por la que el Centro de Telecomunicaciones y Tecnologías de la Información (CTTI), el cerebro digital de la Generalitat, asignó sin concurrencia a IBM el encargo de poner en marcha la plataforma para guardar plaza para vacunarse en la región. La tecnológica ha cumplido a medias, pues la vacunación avanza a buen ritmo en la autonomía catalana, pero el portal web se atasca y, más preocupante, sufrió un fallo grave de seguridad en las últimas semanas, como avanzó Eldiario.es.
Sin concurso
Antes, el Govern trató de prepararse para la vacuna contra el Covid-19 y cubrirse las espaldas al externalizar el "sistema de información para la gestión del proceso de. citación y administración de las vacunas" a IBM. El contrato rige desde el 1 de marzo de este año al 31 de marzo de 2023. El grupo con sede en Nueva York, a su vez, no proveyó por sí mismo la plataforma de vacunación, sino que la encargó a un tercero: su socio estratégico Salesforce.
¿Qué pedía el CTTI para la campaña masiva de inmunización en Cataluña? Implantar la solución de vacunación (VAMS, por Vaccine Management) de IBM-Salesforce sobre los principios de "despliegue rápido"; "cobertura end-to-end a los procesos"; "opción de customización" y por ser una "solución contrastada en multitud de sistemas sanitarios". En efecto, la socia de IBM presumía en marzo de haber vendido su producto a 150 gobiernos y autoridades sanitarias [ver nota de prensa aquí] de todo el mundo. En el caso de Cataluña, se llevó el encargo sin concurso por 1,51 millones de euros.
Fallo crítico de seguridad
Ese monto de dinero público inyectado en la web de vacunación no ha evitado fallos graves. En las últimas semanas, un grupo de piratas informáticos sometió la solución de IBM a un test de estrés. Y la plataforma no lo pasó. Reveló nombres y apellidos, números de DNI e información referente a la cita para vacunarse de miles de ciudadanos. El Departamento catalán de Salud consiguió cortar el fuego y cerrar la brecha el fin de semana. El propio consejero de Salud, Josep Maria Argimon, dio el tema por zanjado el lunes.
A su vez, su consejería refirió ayer a este medio a un comunicado emitido por la consejería el lunes, y que detalla que Salud contactó con la Agencia Catalana de Protección de Datos (ACPD) en el plazo fijado (72 horas). El equipo de Argimon también "ha corregido la vulnerabilidad" siguiendo las indicaciones de la Agencia de Ciberseguridad de Cataluña y está "profundizando con los diferentes proveedores cuáles han sido las causas y qué medidas y controles es necesario incorporar para minimizar los riesgos de la seguridad informática".
"Brecha grave"
Ricard Martínez, profesor de Derecho Constitucional experto en Protección de Datos tiene una opinión más matizada. Tilda el error de la web de IBM como "muy grave, imperdonable", por cuanto ha permitido ver "quién se ha vacunado y quién no se ha vacunado" introduciendo apenas el DNI del ciudadano. Ello abre la puerta al uso fraudulento y a vulnerar derechos fundamentales. El también director de la Cátedra de Privacidad de la Universidad de Valencia (UV) recuerda que "hay que tomar los datos sanitarios como seguridad nacional", por cuanto poderes hostiles "los pueden hackear, torpedeando la vacunación y dejando que el virus corra más libre por un país".
Martínez, no obstante, rechaza "criminalizar a las víctimas de un ciberataque". ¿Por qué? "Porque cada vez van a ser más frecuentes. La ciudadanía tiene que acostumbrarse y las autoridades, ser tan transparentes como puedan para corregir estos sucesos", subraya. "Te puedes permitir que te ciberataquen, pero no te puedes permitir ser complaciente, no hacer nada y custodiar datos muy sensibles con un sistema vulnerable", apostilla el experto.
Fallan IBM y la 'república digital' de Puigneró
Los fallos en la web de vacunación revelan dos cosas. Una, en el plano tecnológico, la solución de IBM y su socio Salesforce que decenas de gobiernos del mundo están utilizando para organizar la vacunación contra el Covid-19 no es invulnerable. Y eso que la cotizada se significó como aliado en la lucha contra la infección que causa el virus SARS-CoV-2 al menos en dos ocasiones. En abril de este año, alertó a gobiernos de todo el mundo de que la infraestructura vacunal había sufrido decenas de ataques en al menos 40 países. Un mes antes, en marzo, anunció un acuerdo con Moderna para poner su tecnología al servicio de la farmacéutica, una de las cinco que ha visto un preparado contra la infección aprobado por la Agencia Europea del Medicamento (EMA).
En el campo político, los fallos en la web de vacunación encargada por la Generalitat de Cataluña a IBM a dedo, sin concurso público, ponen sombras sobre lo que el vicepresidente del Gobierno catalán y consejero de Políticas Digitales y Territorio, Jordi Puigneró, llama "república digital" de Cataluña. El político independentista teje la idea de una supuesta autonomía que hace uso de la tecnología para desbrozar camino sin el resto de España. Ello es sobre el papel. En realidad, ni Puigneró ni sus antecesores han logrado desbloquear la T-Mobilitat, el sistema de pago de transporte público digital en la gran Barcelona. Lleva seis años de retraso y, aún, los usuarios siguen validando sus viajes con tiquets de cartón. Ahora, los errores de la web de vacunación, competencia delegada a las autonomías, ponen más en duda si cabe ese relato.
Este artículo se ha elaborado sin la versión de IBM y la Consejería catalana de Políticas Digitales, que han declinado hacer comentarios o no han respondido a las preguntas planteadas.