La ASF encontró deficiencias técnicas en los servicios prestados por Totalsec, S.A. de C.V. en un contrato que había pasado por alto pero que alguien denunció por un posible conflicto de interés que no quedó del todo solventado.
Totalsec, S.A. de C.V., una de las empresas de Grupo Salinas, recibió entre el 2021 y el 2022 dos contratos del Instituto Mexicano del Seguro Social (IMSS), que sumaron un monto máximo por 164 millones 239 mil pesos.
La firma ofreció a la institución de salud un servicio integral de ciberseguridad que ejecutó sin los protocolos de supervisión necesarios. Las deficiencias en la ejecución habían pasado desapercibidas, pero alguien denunció un posible conflicto de interés a la Auditoría Superior de la Federación (ASF), por lo que integró a la muestra de la auditoría de cumplimiento de la Cuenta Pública 2021 uno de los contratos de Totalsec.
Tras realizar una revisión de los servicios que prestó la empresa al IMSS, el organismo detectó incumplimientos técnicos. Durante la auditoría, el instituto no presentó comprobantes de los niveles de seguridad que la empresa le ofreció, de las herramientas que utilizó, ni del listado de incidentes críticos que previno, entre otras deficiencias. Los montos estipulados en el contrato no coincidieron con las facturas que entregaba de manera mensual la empresa.
El 12 de diciembre del 2022, la ASF publicó los resultados de la auditoría de cumplimiento TIC, número 157, en la que se integraron a la muestra, dos contratos y cuatro convenios modificatorios a la Cédula de Resultados Finales, debido a las denuncias que el organismo recibió con número de folio DEN-002-22 y DEN-003-22, en diciembre del 2021.
De acuerdo con las denuncias, la licitación que ganó la empresa de Grupo Salinas para realizar “Servicios Administrados de Seguridad Integral” habría sido obtenida gracias a que la compañía recibió información confidencial de una funcionaria de la Dirección de Administración, lo que le habría dado una ventaja competitiva a Totalsec. En la denuncia se señaló que Claudia Laura Vázquez Espinoza, directora de directora de Innovación y Desarrollo Tecnológico, sería cónyuge de un directivo de Total Play, otra empresa de Grupo Salinas y habría entregado información que le dio ventaja al corporativo.
La auditoría resolvió que no había relación entre la empresa donde labora el señalado y Totalsec. La información recolectada por el IMSS durante el proceso de contratación tampoco arrojó elementos que permitieran determinar que hubo conflicto de interés.
Sin embargo, la empresa Total Play, sí es cercana a Totalsec. No solo pertenecen al mismo grupo empresarial, también en varias ocasiones han concursado en participación conjunta para obtener contratos de la federación. Mediante esta modalidad, la compañía obtuvo el contrato TFJA-SOA-DGRMSG-041/2020 para el Tribunal Federal de Justicia Administrativa (TFJA), por un total de 86 millones 444 mil pesos.
Aunque son empresas distintas, al sumar fuerzas potencializan sus capacidades de oferta y obtienen ventajas en relación a otras firmas concursantes. Estas colaboraciones no están fuera de la normativa, pero afectan el principio de equidad, ya que no todas las empresas pertenecen a holdings que les permiten participar en conjunto y ampliar su capacidad de oferta.
Una vez que TotalSec obtuvo el contrato DC21S159, para realizar servicios de seguridad digital, la ASF encontró deficiencias en la aplicación de mecanismos y sistemas de control. En el momento en que se realizó la auditoría, el IMSS reportó que no se le dio un seguimiento adecuado, y esto impidió que se comprobaran los costos reales de los servicios que la empresa prestó por 95 millones 119 mil pesos.
En la auditoría, la ASF concluyó que no había evidencia de las actividades realizadas por la empresa, entre ellas, no pudo confirmar que el firewall, o cortafuegos, que es un sistema de seguridad esencial, hubiera sido configurado por la empresa. De manera que no se tuvo información del nivel de seguridad que ofreció la compañía.
Según la ASF, Totalsec no proporcionó el listado de incidentes de seguridad crítica. Tampoco se encontró evidencia de que el IMSS llevó a cabo acciones para mitigar las vulnerabilidades detectadas.
La ASF no pudo validar la última versión liberada por el fabricante de las herramientas que utilizaron para identificar vulnerabilidades, así como para realizar análisis forense y borrado seguro de información.
Hubo montos dentro del contrato que no pudieron ser justificados en la auditoría de cumplimiento. La ASF no pudo constatar con la información disponible que la empresa hubiera implementado un servicio que se incluía en el contrato por un monto de un millón 601 mil pesos.
Audotoria IMSS
