La ley de Murphy

Malas enseñanzas: sistema del Banco Popular, certificado QR y validación de facturas electrónicas

La falla del sistema del Banco Popular, los problemas con el certificado QR y las caídas de la plataforma de validación de facturas electrónicas afectan la confianza en los servicios de cara al Gobierno Digital, a lo que se suma una mala gestión de las crisis y de la comunicación institucional.

La confianza, la seguridad y la eficiencia de los sistemas informáticos del Estado son claves para el éxito de cualquier iniciativa de Gobierno Digital. También la estrategia de mercadeo, comunicación y manejo de las crisis.

En estos últimos meses y en los últimos días hemos tenido malos ejemplos: el sistemas para generar el certificado de salud con código QR, los problemas del sistema de validación de las facturas electrónicas a cargo de la Empresa de Servicios Públicos de Heredia (ESPH), y los problemas de la plataforma del Banco Popular (que al parecer terminó afectando el servicio de Sinpe Móvil con otras entidades).

Tengamos en cuenta que estamos en una época de polarización, temporada electoral y opiniones con más vísceras que mente: todo error será maximizado. Y que fallas de sistemas siempre se presentan. Pero, hay fallas de fallas.

A Marc Andreessen, creador de Netscape, se le ocurrió automatizar su yate personal y se llevó a los mejores informáticos con los que construyó su popular navegador.

Conforme escribían código, los informáticos se daban cuenta que iban quedando pulgas. La cantidad de código que llegaron a acumular era tal que no fue posible volver atrás. Entonces: “cuando aparezcan”. Se encogieron de hombros y siguieron.

Estando en alta mar en un tour que a Andreessen se le ocurrió, empezaron a aparecer los fallos. Como el día cuando la pared que dividía la cocina del comedor empezó a correrse sola. La cocinera daba alaridos del susto.

Una falla en los sistemas personales no genera nada: tal vez la anécdota para la biografía o para redes sociales. Para una empresa la caída o los fallos de un sistema tiene costos de imagen, clientes, ventas y gastos en reparación. En el caso de una institución tiene los mismos efectos, pero se le suma la afectación en la confianza. ¿Importa? Claro que importa cuando se quiere impulsar la transformación digital del Estado.

Más allá de lo técnico, cuando un incidente informático se hace masivo, detiene las operaciones y genera desconfianza y resistencias se revelan más los síntomas de una visión empresarial o institucional que las pulgas del software.

Teniendo dos aplicaciones de la Caja Costarricense del Seguro Social (CCSS), la del Expediente Digital Único de Salud (EDUS) y la de la CCSSmóvil, a alguien se le ocurrió que para el certificado de vacunación con código QR había que hacer una nueva y complicarle la vida a todo el mundo: a los usuarios vacunados, a los funcionarios que deben dar la cara y a las mismas instituciones.

La dirección de gobernanza digital del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) dice que legalmente no podían usar EDUS para el código. ¿Eso no podía resolverse?

Cierto que 2,3 millones de personas que completaron el esquema de vacunación ya tenían el certificado de vacunación entre octubre y noviembre y que en diciembre el ritmo era de 25.000 descargas por día. Cierto también que el ruido viene del lado de las personas que desean o les urge tenerlo y no lo han logrado, de los comercios (por los costos que implica) y de los opositores al certificado y a la vacunación.

Todo eso se pudo evitar: apenas la pesona sale de la segunda vacunación y le debería llegar el código QR (y con las personas que no tienen móvil con la app se les atiende aparte, pero ya serían menos). Sencillo. Lógico. ¡Sufrí un colapso pensando eso!

En el EDUS se tiene la información de la vacunación automáticamente y la CCSS es una de las instituciones que está involucrada en la generación del QR. Si requerían un cambio legal: a moverse, a hacerlo, actúen. ¡Ah claro: cómo el gobierno no tiene estrategia de comunicación y no convence a nadie, prefirieron no hacerlo!

Para complicar las cosas el proyecto del certificado QR empezó mal. Con la primera versión, un usuario mostró que los datos de las personas quedaban visibles, enlazaba a una página web operado por un tercero (cuyo negocio es el de “creación de perfiles de consumo y movilidad”, aparentemente) y enlazaba a una aplicación de rastreo de contactos.

Las autoridades nunca respondieron si eso era así o no, pese a que se les consultó el 13 de octubre. Corrieron a anunciar la nueva versión. Aquí se siguió con el suplicio de obtener el código QR y la falta de respuesta del Ministerio de Salud. Reportabas problemas y ni una notificación automática se recibía como respuesta.

Una noche, como a las 12 de la noche, se me ocurrió hacer el intento. Al fin, lo logré. No supe si fue porque a esa hora el tráfico era poco o después de una consulta que envíe. Otras personas no han tenido suerte para obtener el certificado, algunas incluso acudiendo al Ministerio de Salud y hasta han topado con problemas de caída del sistema.

El gobierno promueve la nueva Agencia Nacional de Gobierno Digital como “un paso enorme hacia la transformación de nuestra institucionalidad pública”.

“Estamos dando un paso enorme hacia la digitalización de nuestra institucionalidad pública y de sus procesos”, dijo el presidente Carlos Alvarado el día que se hizo el lanzamiento oficial de la Agencia.

“Desde el Micitt celebramos la creación de la Agencia como un paso fundamental para la digitalización del Estado”, le hizo eco la ministra del MICITT, Paola Vega Castillo.

La Agencia tiene la función de transformar y hacer más eficientes y efectivos los servicios de las instituciones públicas, desarrollar proyectos y servicios digitales, implementar mecanismos de intercambio de información e integración de sistemas (interoperabilidad).

La tarea es cuesta arriba pese a la urgencia de algunas iniciativas, como la de interoperabilidad que es indispensable para el proyecto de Hacienda Digital y sobre cuyo avance ya la Contraloría General de la República llamó la atención al Micitt.

Los casos de la Unidad Presidencial de Análisis de Datos (UPAD), las pruebas Faro del Ministerios de Educación Pública y el certificado QR (a una postergación le sigue otra y no hay esfuerzos para convencernos de si es necesario y práctico) generan muy poca confianza.

Para completar las tortas, el sistema de validación de facturas electrónicas a cargo de la ESPH no resuelve su dependencia del centro de datos de Amazon Web Services ubicado en Virginia del Norte, Estados Unidos.

En dos ocasiones, la más reciente el pasado 7 de diciembre, el datacenter estornudó y en Costa Rica el sistema de validación dejó de operar. ¿En la primera vez, en octubre de 2020, no aprendió la ESPH y el la Dirección General de Tributación que hay que tener una alternativa para cuando eso ocurra, como dice el ABC de contingencias informáticas?

Y ahora ocurre el fallo de la plataforma del Banco Popular. No es la primera vez que falla el sistema de esta entidad (ya cuestionado desde las licitaciones iniciales). Ahora el problema es que, aparentemente, se afectó a otros bancos en el servicio Sinpe Móvil.

BAC Credomatic tuvo que suspender el servicio hace unos días. El Banco de Costa Rica lo hizo este sábado y fue claro en indicar que las intermitencias de los sistemas de otras entidades afectaron el servicio. Habrá que revisar técnicamente qué hacer para que un fallo en un banco no afecte el servicio en los otros.

Lo que no se podrá resolver es que si la plataforma de un banco se cae, los clientes de esa entidad no podrán enviar transferencias desde sus cuentas. Tampoco recibirán las que les envían. De ahí la necesidad de cero fallas.

Sumemos el mal manejo de la comunicación y gestión de crisis, pues parece que en los manuales y protocolos de las instituciones lo único que dice es: “aplicar solo comunicados de prensa” o, para los ciudadanos usuarios, “si tiene problemas, comuníquese con nuestros canales digitales”. Y los canales nunca responden.

Carlos Cordero Pérez

Carlos Cordero Pérez

Carlos Cordero es periodista especializado en temas tecnológicos. Escribe para El Financiero y es autor del blog "La Ley de Murphy".