El Área de Tecnología de Información del Departamento de Hacienda puso en riesgo la seguridad de los datos confidenciales de los contribuyentes, al no tener controles adecuados respecto a los usuarios con accesos en los distintos niveles de su plataforma, reveló un informe de auditoría de la Oficina del Contralor de Puerto Rico (OCPR).

La contralora Yesmín Valdivieso calificó este hallazgo como “crítico”.

“Las deficiencias identificadas en el Departamento de Hacienda en cuanto al control de acceso no son un caso aislado. Este tipo de señalamiento lo hemos hecho en muchas otras, si no en todas las agencias que auditamos”, anotó Valdivieso, en declaraciones a El Nuevo Día.

“Sin embargo, en esta agencia resulta muy crítico debido a que manejan información confidencial de los ciudadanos y previamente han recibido ataques cibernéticos”, agregó.

La auditoría identificó que la Oficina de Seguridad del Área de Tecnología de Información no pudo presentar documentación que justificara la creación de 79 cuentas de las 99 examinadas. Además, la evaluación de los formularios de acceso remoto de una muestra de 25 cuentas evidenció la falta de información en el 48% de los formularios. Once de las cuentas de acceso examinadas estaban asignadas a empleados no autorizados a realizar teletrabajo.

Estas situaciones, señaló la OCPR, pueden causar que personas no autorizadas logren acceso a la red de comunicaciones y que se cometan irregularidades o alteren los datos de los sistemas de información.

“Se esperaría que, luego de una situación como esta, la reacción sea fortalecer la seguridad de los sistemas de información y disminuir las vulnerabilidades existentes. Eso no fue lo que vimos en la auditoría en cuanto al control de acceso”, destacó Valdivieso.

El informe C-25-61, con fecha del 11 de marzo de 2025 y que observó las operaciones entre el 10 de julio de 2023 y el 31 de julio de 2024, levantó dudas sobre la protección y potencial exposición de información, al señalar deficiencias que contravienen las mejores prácticas de seguridad de la información y pueden comprometer la integridad de los datos gubernamentales.

“Permite que personas no autorizadas puedan lograr acceso a la red de comunicaciones del Departamento para hacer uso indebido de esta. También, propicia la comisión de irregularidades y la alteración, por error o deliberadamente, de los datos contenidos en los sistemas de información”, reza el informe de auditoría.

Valdivieso alertó que las deficiencias en el control de acceso pueden ocasionar exposición de datos sensibles internos y de los ciudadanos, como consecuencia de que se pueda acceder a los sistemas sin autorización o utilizando privilegios de otro usuario sin que Hacienda se percate de este acceso y las transacciones realizadas. La falta de control, además, limita, en ocasiones, que se pueda adjudicar responsabilidades a los usuarios por estos accesos.

“Esto plantea una preocupación en cuanto a cuán vulnerable pueda ser el gobierno a los ataques cibernéticos y cómo nosotros, los ciudadanos, nos podemos ver afectados ante este descuido del gobierno”, dijo la contralora.

Estos hallazgos, además, serían significativos considerando que el gobierno ha dicho que “hackers” o intrusos cibernéticos han obligado a las agencias a reforzar sus sistemas de seguridad en sus equipos digitales, como respuesta al intenso operativo que empresas que se dedican al robo y bloqueo de información computadorizada realizan desde el extranjero. La cifra de estos ataques a las computadoras del gobierno se calcula en millones.

“En el Departamento de Hacienda, acogimos las recomendaciones emitidas por la Oficina del Contralor y continuamos tomando las medidas necesarias para atender los hallazgos relacionadas con ciertas cuentas de acceso a nuestra red de comunicaciones”, indicó, por su parte, el secretario de Hacienda, Ángel Pantoja Rodríguez, en declaraciones a El Nuevo Día.

El primer hallazgo crítico señalado por la OCPR se centra en las “deficiencias relacionadas con el mantenimiento de las cuentas de acceso a la red de comunicaciones”. La auditoría reveló una falta de mecanismos de control para asegurar que las cuentas de acceso de exempleados sean desactivadas o eliminadas de manera oportuna.

Esta omisión permite que individuos que ya no tienen vínculos laborales con Hacienda puedan potencialmente retener acceso a información sensible y a los sistemas de la red.

Los auditores identificaron, por ejemplo, que, al 6 de junio de 2024, no se habían desactivado cuatro cuentas de acceso de exempleados que habían cesado funciones entre 2015 y 2024. La OCPR señaló que se registró actividad en cuatro cuentas de acceso inactivas y una activa luego del cese de funciones.

A raíz de los hallazgos, Pantoja Rodríguez indicó que se desarrolló un plan de trabajo que incluye la creación y revisión de formularios y procedimientos y la coordinación entre el Área de Tecnología de Información (ATI) y el Área de Recursos Humanos y Asuntos Laborales “para mejorar la comunicación y mantener la actualización de las cuentas de acceso a los sistemas de información”.

“Entre las acciones tomadas, está el envío mensual a ATI de un directorio activo actualizado, se eliminaron cuentas sin utilizar y se validaron cuentas para realizar trabajo a distancia. Los ejercicios de auditoría son herramientas que ayudan a mejorar los procesos y a optimizar las operaciones”, dijo el secretario.

El segundo hallazgo se refiere a las “deficiencias relacionadas con la creación de las cuentas de acceso a la red de comunicación del Departamento, las autorizaciones de acceso remoto y los formularios de solicitud de acceso”. La auditoría reveló una falta de rigor en los procedimientos establecidos para la creación de nuevas cuentas de usuario y la concesión de accesos remotos.

La OCPR urgió a Hacienda una supervisión efectiva para evaluar y actualizar los accesos, así como establecer revisiones periódicas, requerir documentación completa para la creación de cuentas y mejorar los formularios de acceso. También, instó a actualizar normativas internas y coordinar con Recursos Humanos para la desactivación oportuna de cuentas de exempleados.

“El reto es fortalecer la seguridad de los sistemas y los procesos de administración de los accesos a los usuarios”, apuntó Valdivieso. “Utilizar más mecanismos de control de acceso y tecnología para autenticar a los usuarios y el monitoreo constante con la ayuda de la inteligencia artificial para identificar estos accesos indebidos”, subrayó.