Rolando Herrera
Agencia Reforma

CIUDAD DE MÉXICO.-La Comisión Federal de Electricidad (CFE) detectó vulnerabilidades en el sistema que usa para la facturación, lo que pone en riesgo la gestión de cobros en caso de una eventualidad, como por ejemplo ataques cibernéticos, de acuerdo con una auditoría interna.
A través del Sistema Comercial (SICOM), desarrollado por la propia CFE hace más de 25 años, la empresa del Estado realiza el cobro a 44.7 millones de usuarios que en 2020 facturaron 502.8 miles de millones de pesos.
La auditoría UAS-003/2021, denominada «Auditoría sobre la eficiencia, eficacia, seguridad y confiabilidad con que opera el Sistema Comercial (SICOM) de la CFE», concluye que la Comisión no cuenta con planes de continuidad operativa y recuperación de desastres en su sistema de facturación, por lo que no está preparada para afrontar una contingencia.
«(.) se procedió a la formalización de una cédula de observaciones, toda vez que el área auditada no presentó evidencia suficiente respecto a la disposición en CFE SSB (Suministrador de Servicios Básicos) de planes de continuidad operativa y de recuperación de desastres para el SICOM que cumplan (ante):
«Situación de ciberataque; pérdida de conectividad de la red de datos; procedimientos para restablecer los servicios en sitios alternos, posterior a la pérdida del centro de datos; requisitos de continuidad de seguridad de la información; pruebas y ejercicios de recuperación de desastres; ausencia de convenios y/o contratos, para proporcionar los servicios detallados de manera parcial o integral», indicó.
La auditoría fue practicada a las empresas subsidiarias CFE Distribución y CFE Suministrador de Servicios Básicos, sin embargo, la observación fue dirigida a ésta última debido a que es la responsable del SICOM.
Rafael Pazarán, especialista en tecnologías de la información de la Universidad La Salle, consideró que es muy preocupante que la CFE no cuente con planes de continuidad, pues podría perder la información de millones de clientes ante cualquier contingencia.
«Ante una eventualidad como un ciberataque, ante una eventualidad como un desastre: llámese sismo, terremoto, incendio, incluso terrorismo o ciberterrorismo, podríamos tener una discontinuidad en la facturación de CFE», dijo.
Desde 2015, la Auditoría Superior de la Federación (ASF) ya había advertido de la falta de una estrategia para responder ante una situación que comprometiera la continuidad del SICOM.
«No se realiza una evaluación de los riesgos asociados a los escenarios definidos para la operación, por lo que en caso de presentarse, no se cuenta con una estrategia de mitigación y contingencia correspondiente», señaló en ese entonces.
El SICOM es un sistema desarrollado de manera interna, con lenguaje de programación COBOL, que maneja sus datos en archivos indexados y cuenta con mecanismos que le permiten compartir información con otros sistemas.
Otro de los hallazgos de la auditoría fue una débil gestión de riesgos de seguridad de la información, sin embargo, en sus conclusiones dio por atendido ese punto sin detallar la forma en que CFE SSB justificó la observación.