El Ministerio Público acaba de convocar a una licitación para la Provisión de Servicios de Implementación, Soporte y Monitoreo con una plataforma WSO2 API Manager Open Source (Octubre 2024) para “centralizar, administrar y monitorear las API que utiliza la institución”. En pocas palabras para administrar la coordinación (API) que usa con el resto de los servicios públicos, entre ellos policías y tribunales.
El hecho en sí no tiene nada de extraño, excepto que resulta un indicativo muy negativo del bajo nivel de seguridad en que se mueve la Fiscalía Nacional, pese al carácter crítico de la información que maneja. No por la calidad intrínseca del WSO2 API Manager, sino porque como producto no cubre las necesidades estratégicas y de seguridad con que el Ministerio Público debiera manejarse. Sobre todo, en los estándares de protección y eficacia que requiere la gestión de la información crítica que maneja.
Aunque WSO2 API Manager ofrece soluciones de código abierto de alta calidad, ha tenido vulnerabilidades críticas en el pasado, entre las cuales está aquella que permitía la ejecución remota del código (CVE-2022-29464). Este tipo de vulnerabilidades podrían poner en riesgo la confidencialidad y seguridad de los datos, especialmente si los sistemas no se actualizan regularmente. En un ambiente político como el actual, parece redundante insistir sobre este argumento.
Por otro lado, las soluciones de código abierto en cuanto a soporte y recursos de seguridad, pueden requerir una inversión significativa en equipos de mantención para asegurar que se apliquen los parches de seguridad y las mejores prácticas. Por lo tanto, no queda clara la evaluación costo beneficio de esta licitación pues existe la percepción proveniente de declaraciones de la propia institución, de que el Ministerio Público no tendría los recursos humanos y financieros necesarios para gestionar eficientemente un entorno de código abierto WSO2 como el que se propone adquirir. Ello, vis a vis una solución de gestión de APIs respaldada con soporte comercial sólido y específico para el sector público. En esto, la regla es que quien gasta mal paga dos veces.
Existen plataformas de gestión de APIs que han sido desarrolladas específicamente para entornos gubernamentales con certificaciones de seguridad avanzadas y compatibles con estándares internacionales tales como ISO/IEC 27001 y 27018. Entre otras cosas, estas aseguran una protección rigurosa de los datos personales, aspecto de alta sensibilidad en la actualidad. Al contrario, se debe considerar que el uso de WSO2 podría carecer de algunas de estas garantías o no tener certificaciones de seguridad de alto nivel indispensables en un organismo de seguridad pública.
En ese mismo orden, el sistema que se propone adquirir tiene serias limitaciones de soporte continuo y escalabilidad hacia el futuro. Es un hecho que el sistema WSO2 es flexible, pero a medida que la cantidad de usuarios aumenta y las integraciones se hacen más complejas, el rendimiento decae y la factibilidad de aumentar su escala de funcionamiento se transforma en un problema imposible de manejar. Por lo mismo, parece evidente que el Ministerio Público no ha hecho una prospectiva de sus necesidades futuras, y con ello, al licitar este tipo de plataforma está abriendo la puerta a mayores gastos en servicios adicionales para funcionar cuando compruebe que no puede escalar sus sistemas. Todo esto en un país que discute leyes sobre infraestructura crítica.