Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.

Hacienda inhabilita su buscador de licitadores tras liberar un hacker toda la base de datos

Una de las imágenes del proceso para acceder a la base de datos de empresas clasificadas del ROLECE compartida por Jaime Gómez-Obregón.

Carlos del Castillo

22 de marzo de 2022 22:35 h

10

Uno de los buscadores del Registro Oficial de Licitadores y Empresas Clasificadas del Estado (ROLECE) fue desactivado el lunes por el Ministerio de Hacienda y permanece inhabilitado desde entonces. El motivo, explican fuentes oficiales a elDiario.es, es que el ministerio ha encontrado “una incidencia” en el sistema: “Se está realizando una revisión de este servicio y mientras se efectúe esa revisión se ha decidido suspenderlo”. La detección de esa incidencia y desactivación del servicio se ha producido inmediatamente después de que el hacker ético Jaime Gómez-Obregón mostrara cómo acceder a toda la base de datos pública sobre la que trabaja el buscador.

La herramienta desactivada se alojaba en la página web de Hacienda y servía para consultar las empresas clasificadas como contratistas de las Administraciones Públicas, requisito indispensable para acceder a las licitaciones de más de 500.000 euros. Sin embargo, el sistema no permitía acceder al listado completo de empresas, sino que exigía hacerlo mediante consultas parciales al buscador, que además requería introducir un mínimo de cuatro letras en el campo de búsqueda.

La base de datos “es pública y no tiene carácter confidencial”, reconoce el Ministerio a este medio. Su “consulta es de acceso libre y proporciona los datos básicos de clasificación”, añade en su web. Sin embargo, el diseño del buscador impedía ese “acceso libre”. Al no permitir la descarga completa de la base de datos y forzar al usuario a trabajar a través de consultas, el sistema bloquea la posibilidad de hacer revisiones de big data sobre la información, como cruzarla con otras bases de datos para detectar patrones o coincidencias sospechosas.

El pasado domingo, Gómez-Obregón publicó en su perfil de Twitter cómo había logrado saltarse “el obstáculo” que representaba el buscador y descargar toda la base de datos. El ingeniero informático y premiado activista por la transparencia detalló todos los pasos que llevó a cabo para hacerlo, aprovechando la forma en la que fue configurada la herramienta para engañarla y que tras una sola consulta devolviera la lista completa de empresas clasificadas.

El proceso es complejo pero no implica crackear ni romper el sistema informático dispuesto por Hacienda. Como todas las aplicaciones web, el buscador del ROLECE programado por el ministerio tiene dos partes. Una se ejecuta en los servidores del organismo y la otra en el navegador del usuario. Es esta segunda parte la que el hacker ha modificado para conseguir que el buscador devuelva toda la base de datos en una sola consulta. 

“La información es pública, lo que pasa es que el Ministerio ofrece los datos con cuentagotas. Yo lo único que he hecho es liberar la jarra entera”, explica Gómez-Obregón a elDiario.es, que ha colgado un documento público desde donde descargar el listado de empresas clasificadas.

“El sitio web de Hacienda impide al ciudadano acceder a la totalidad de los datos. Para ello establecen unas limitaciones. Pero estas limitaciones están codificadas justo en la parte del programa informático que un usuario técnico puede modificar, porque corre en su ordenador, no en los del ministerio. Así he podido acceder a la totalidad de la base de datos, descargarla y difundirla. Todo ello con la finalidad de hacer verdaderamente público el acceso a unos datos que según la Ley son públicos, pero que no se publican: un Excel con 10.700 filas”, resume.

El ministerio afirma que la suspensión del buscador es “temporal”. “Una vez se verifique que no existen problemas que comprometan el sistema de información de ROLECE y adoptadas las medidas que se consideren procedentes, el servicio de acceso afectado será restablecido”, exponen fuentes de Hacienda a este medio. Destacan que esta desactivación no supone que el Registro Oficial de Licitadores haya sido dado de baja: “Los servicios que presta el ROLECE siguen estando a disposición de empresarios y órganos de contratación a través del acceso general”.

“Lo que se ha producido es una suspensión temporal de un servicio de acceso directo para consultar únicamente los datos de ”clasificación“ de las empresas, que se ponía a disposición de los interesados para obtener esa información de una manera más sencilla. Es este servicio de acceso el que se encuentra en este momento no disponible”, abunda el Ministerio: “Es decir, la información que se obtenía a través del acceso temporalmente suspendido es sólo una parte o subconjunto de la información completa contenida en el Rolece, singularizada para proporcionar un acceso más sencillo al ciudadano a la información de clasificación”.

Hacienda no ha respondido a las preguntas de elDiario.es sobre si la desactivación del buscador está directamente relacionada con la acción de Gómez-Obregón. Tampoco acerca de por qué no se ha habilitado la posibilidad de descargar toda la base de datos del ROLECE.

Transparencia parcial

La clave de la acción de Gómez-Obregón es hacer efectiva la obligación legal de que los datos del Registro Oficial de Licitadores tengan una transparencia efectiva. “Hay un registro público, al que la Ley de Contratos del Sector Público, que es de 2017, estipula que cualquiera debe poder acceder. La ley también establece que la publicidad de los contenidos de este registro se regulará mediante un reglamento… pero han transcurrido cinco años y este reglamento no se ha hecho”, detalla.

El hacker describe que la presencia del buscador como mediador del acceso a la información se puede comparar con lo que ocurría en los antiguos colmados o mercerías. El cliente le pedía al tendero los productos que necesitaba y este los seleccionaba y ponía sobre el mostrador. Una transparencia efectiva, indica Gómez-Obregón, se puede asimilar con lo que pasa ahora en todas las tiendas: el cliente puede inspeccionar todo el género sin el filtro del dependiente.

“Lo que pasa con estas bases de datos públicas, que se supone que son transparentes pero luego no lo son del todo, es que te ponen los datos detrás de una barrera. Y en lugar de publicar los datos en abierto, hay un tendero detrás del mostrador al que tienes que explicarle una y otra vez qué estás buscando exactamente, y él te lo da”, resume.

Lo que pasa con estas bases de datos públicas, que se supone que son transparentes pero luego no lo son del todo, es que te ponen los datos detrás de una barrera

“Si sabes lo que quieres, esto no es problema. Pero si estamos hablando de big data, de cruzar datos y de encontrar corruptelas, tú no sabes dónde está el fraude. Tenemos unos indicadores, unos algoritmos, unos programas con los que podemos llegar a encontrar cosas, pero necesitan datos”, continúa. El hacker ha sido premiado en el pasado por diseñar este tipo de herramientas que permiten el acceso libre a la información, como el buscador que liberó los datos de contrataciones del Gobierno de Cantabria.

A partir de aquella iniciativa, lanzada en 2020, Gómez-Obregón comenzó una cruzada contra la “transparencia translúcida” de las administraciones públicas. Uno de los focos de sus reclamaciones ha sido el Registro Mercantil, al que el Gobierno mantiene tras otra barrera, en este caso de pago, puesto que con cada consulta a su buscador se debe abonar una tasa a los registradores mercantiles. El Ministerio de Justicia explicó a elDiario.es que el motivo para no liberar la base de datos del Registro Mercantil y facilitar que se cruce con otras (como podría ser la del ROLECE) es la privacidad de los empresarios. En otros países europeos, como Luxemburgo o Reino Unido, esta información es pública y gratuita.

Por el momento, la ministra de Justicia no ha atendido la petición de Gómez-Obregón de liberar los datos mercantiles, mientras que su iniciativa para liberar los del Registro Oficial de Licitadores ha sido respondida por Hacienda con la desactivación del sistema que ha aprovechado para hacerlo. El trabajo por la transparencia de los datos públicos de este hacker le ha valido reconocimientos como el Premio Blasillo de Huesca en el último Congreso de Periodismo de la localidad.

Etiquetas
stats