Santiago, 22 de octubre del 2008 Declaración Pública
En relación al artículo publicado por Terra.cl el día 22 de octubre de 2008, respecto a un hecho ocurrido durante el año 2007, es importante consignar que éste contiene errores e imprecisiones que nos vemos en la obligación de aclarar.
A principios de noviembre de 2007, la Dirección de Compras y Contratación Pública - ChileCompra presentó una denuncia ante el Ministerio Público respecto de posible intrusión por parte de terceros a la plataforma de ChileCompra. El 15 de noviembre de 2007, el Ministerio Público ordenó la detención de Gino Rojas Tillemann, quien fue formalizado por delito informático y por el ilícito de amenazas condicionales y actualmente está en proceso de investigación.
En relación a este hecho puntual y acotado en el tiempo que ocurrió el año pasado, no hubo usuarios afectados, y los sistemas de seguridad permitieron detectar la brecha, al hacker y operar rápidamente con el Ministerio Público, dadas las características del delito. Por lo que no es efectivo que haya “dudas” sobre las licitaciones anteriores.
Es importante enfatizar que la Dirección ChileCompra es asesorada de manera permanente por expertos en seguridad, que certifican el sitio www.chilecompra.cl y sus distintas plataformas.
El monitoreo de seguridad es una tarea rutinaria y permanente, y busca mantener en óptimas condiciones el sistema informático sobre el que opera el mercado público, y garantizar la disponibilidad y normal funcionamiento del sistema para todos sus usuarios, como ha sucedido a lo largo de los últimos cinco años.
Con motivo de lo ocurrido el 2007 se hizo una revisión exhaustiva de la plataforma. Se reforzó la encriptación de algunos de sus componentes y se implementaron procesos y procedimientos adicionales y que están normados por la BS NCh-2777.
Actualmente, la nueva plataforma transaccional de ChileCompra, www.mercadopublico.cl, cuenta con medidas de seguridad física y lógica de primer nivel. El control y acceso de la información se basa en la normativa ISO 17799:2005, y además de ello la norma BS NCh-2777 del INN. También contempla la realización de auditorías periódicas por la empresa externa Neosecure, especialista en seguridad de información.
En la fecha en que ocurrieron estos hechos los sistemas de monitoreo de intrusión (IPS) alertaron sobre el ingreso del hacker.
La falla detectada requería de intencionalidad y de búsqueda de parámetros específicos para ejecutarse. Es falso que se pudiera ingresar a las ofertas completas de los proveedores ni a los archivos adjuntos. El contenido audiovisual del video presentado por Terra.cl es parcial, y omite aspectos claves que debía conocer el hacker para vulnerar el sistema.
