La parábola del zorro que cuida de las gallinas siempre nos hace gracia. Quién puede ser tan descuidado para que suceda eso. Pues parece que a nuestro Ministerio de Energía, Turismo y Agenda Digital no le importa cómo estén sus gallinas. Sobre todo teniendo en cuenta que Deloitte es el mayor contratista del organismo público que asesora en la ciberseguridad española.
Pongamos todo en contexto. Esta semana se ha hecho público mediante una exclusiva de ‘The Guardian’ un hackeo masivo a Deloitte. En concreto, la consultora ha sufrido un ataque que ha dejado al descubierto al menos seis cuentas de clientes con sus contraseñas y correos e información de carácter personal.
La compañía descubrió que su información había sido comprometida en marzo de este año, y lo que es peor, implicaba a sus clientes (de los que no han trascendido más detalles), y que habrían visto comprometidos sus datos. En estos momentos Deloitte lleva a cabo una auditoría interna para esclarecer las causas del ataque.
Todo esto no tendría mayor trascendencia si no fuera porque Deloitte es uno de los principales contratistas del Incibe, el Instituto de Ciberseguridad, una sociedad dependiente del Ministerio y gestionado a través de la Secretaría de Estado para la Sociedad de la Información y Agenda Digital. Además, entre sus principales consignas está la de transmitir confianza digital a la ciudadanía y las empresas.
Asimismo, el Incibe ayuda a las compañías y organizaciones a disponer de apoyo preventivo y reactivo en materia de seguridad en tecnologías de la información para aprovechar al máximo las posibilidades de las TIC de forma segura. ¿Pero puede ser así cuando se contrata a una empresa que pone en riesgo la privacidad de cinco millones de correos de sus clientes?
El Incibe y Deloitte, una gran relación
La relación entre la consultora y el organismo público viene de lejos. Pero también hay casos más recientes que, quizá, son los que llaman la atención por la polémica que ha suscitado la actualidad de Deloitte.
El mes pasado el organismo público adjudico a la consultora un contrato de servicios de desarrollo remoto de software por valor de 125.000 euros. Pero no ha sido el único. Apenas unos meses antes, en junio, otra división de Deloitte se adjudicó el control de servicios de análisis y traducción de vulnerabilidades por 36.000 euros.
En este caso se trataba de la interpretación y traducción al castellano de las vulnerabilidades publicadas por el NIST en la base de datos NVD, y de otras fuentes distintas al NVD, siempre y cuando estas tengan unas características similares. Todo desarrollado en un lenguaje que solo alcanzan a entender los expertos y que, parece ser, es vital para la ciberseguridad.
Aunque la lista continúa. Uno de los grandes proyectos de que ha ganado Deloitte del Incibe fue el año pasado. Se trataba de la creación y puesta en marcha de la Red de Excelencia I+D+i en ciberseguridad. Aquí el premio fue de 132.000 euros. Estos estudios tienen como objetivo obtener una caracterización del sector de la I+D+i a través de acciones como la realización de estudios. También se desarrollará un Informe de tendencias en relación con la detección de demanda temprana.
Unos contratos con cierta polémica
No hay dudas de que Deloitte es uno de los grandes actores de la consultoría de ciberseguridad en España. Y sobre sus problemas, al final deberá ser el Incibe quien valore si realmente puede el zorro encargarse de las gallinas. Pero la relación de ambas partes viene salpicada por la polémica.
Durante 2014 y 2015, el Incibe adjudicó más de 10 proyectos a Deloitte. El punto de conflicto fue que su entonces presidente, Miguel Rego, trabajó como responsable de los desarrollos prácticos de ciberseguridad en la consultora. Algo que lógicamente suscitó cierta controversia.
Y para agrandar la polémica, muchos de los concursos que ganó Deloitte estaban entre los más caros de los presentados. Además, antes de la llegada de Rego, Deloitte no ganaba los concursos, siendo el propio exdirector el que representaba a la empresa en estos procesos.
