Industria despilfarra dinero público pagando el triple por un evento de seguridad

Despilfarro. Así describen decenas de empresas y profesionales del sector de seguridad informática lo ocurrido con la organización del CyberCamp, el gran evento sobre concienciación de ciberseguridad celebrado en Madrid el pasado fin de semana. La polémica generada apunta a su organizador, el Instituto Nacional de Ciberseguridad (INCIBE), dependiente de la Secretaría de Estado de Telecomunicaciones y la Sociedad de la Información, dentro del Ministerio de Industria, Energía y Turismo. Según empresas y profesionales del sector, el INCIBE habría pagado conferencias, concursos y otros festejos del Cybercamp por el doble y hasta el triple del precio de mercado.

El INCIBE comenzó a organizar CyberCamp el año pasado. Se trata de un macroevento anual celebrado en el Barclays Center de Madrid cuya misión, según su propia página web, es "identificar, atraer, gestionar y ayudar a generar talento en ciberseguridad que pueda ser transferido al sector privado". Su segunda intención es implicar a las familias en seguridad informática. Y, para ello, durante los tres días que dura, se ofrecen todo tipo de charlas, talleres y concursos, con entrada gratuita.

Uno de estos concursos ha sido precisamente el que ha provocado la indignación del sector: los llamados retos presenciales, un concurso de estilo "Captura la Bandera", más conocido en ciberseguridad como CTF (por Capture The Flag, en inglés). Consiste en enfrentar a equipos para ver quién es mejor informáticamente hablando, sea a la hora de superar retos criptográficos, o bien asaltar los ordenadores de los contrincantes.

255.000 € por algo que cuesta 75.000

INCIBE sacó a concurso la producción de este reto, que ganó la compañía Indra, con un presupuesto de 255.068 euros IVA incluído. El encargo consistía en crear una plataforma virtual para la competición y un cuadro de mando para que INCIBE pudiese seguir en todo momento el desarrollo de la misma, además de hacer tareas de animación para atraer la atención del público y, acabado el concurso, analizar y validar los resultados. Según empresas y profesionales del sector consultadas por Teknautas, a precio de mercado se podría haber hecho un buen trabajo por 75.000, IVA incluido. Es decir, casi un tercera parte de lo pagado por INCIBE a Indra.

Me parece una tomadura de pelo que se haya cobrado 210.000 € de dinero público. Es el presupuesto de encuentros mundiales

El ingeniero de seguridad Javier Marcos habla de "despropósito difícilmente justificable". Marcos es muy conocido por organizar de forma independiente CTFs públicos desde 2012, además de competir en algunos. Una lista rápida de los eventos que ha montado quita el aliento: Hackeire 2012 (Dublin), SOURCE Dublin 2013, BruCON 2013, NoConName 2013, OWASP San Diego 2014, BruCON 2014, r00tz Defcon 2015, Navajas-ConectaCon 2015, y también en universidades como Stanford, Cambridge, UAB, Michigan..

"Me parece una tomadura de pelo que se haya cobrado 210.000 eurazos (sin IVA) de dinero público para organizar un evento que, con ese presupuesto, debería haber sido de la magnitud del CTF de la Defcon", afirma Marcos, refiriéndose a uno de los mejores concurso de este tipo del mundo. La mayoría de CTFs se montan gratuitamente o, como mucho, los monta una de las empresas que esponsoriza el evento en el marco del cual se celebran, como contribución al mismo.

Por su experiencia, Javier calcula que montar un CTF en Estados Unidos, "incluyendo premios, viajes de organizadores cruzando el charco, catering, infraestructura y demás no llega a una tercera parte de este precio". También Román Medina-Heigl, veterano miembro del grupo español de jugadores de CTFs Int3pids, no da crédito a las cifras: "No es habitual prestar portátiles en un CTF pero aún incluyendo gastos extra de ese tipo, éstos serían ínfimos en comparación al montante total".

Según Román, el de CyberCamp distaba de ser un CTF típico "como los que solemos participar, tanto por la dinámica como el tipo de juego; requieren de mucha creatividad y sobre todo de un nivel técnico muy elevado, no se resuelven lanzando un Metasploit, lo cual se traduce en dificultad para los jugadores pero también en complejidad a la hora de diseñar los retos. No es algo al alcance de cualquiera y esta es una de las razones por las que los CTFs importantes no son creados por empresas sino por grupos que a su vez son participantes habituales y reputados en este tipo de grandes competiciones".

La competición organizada consistía en una plataforma virtual donde debía usarse la herramienta Metasploit para superar los retos. Según Javier Marcos, "parece ser que reusaron una plataforma de Indra, por lo que el coste de desarrollo puede que haya sido nulo".

Indra lo confirma a Teknautas: "El precio ofertado por Indra fue un 32% inferior al presupuestado en el pliego de condiciones del concurso y pudo hacer esta oferta porque cuenta con una solución propia y no tiene necesidad de pagar licencias a terceros". Además, afirma Indra, "nuestro cliente INCIBE ha expresado que el funcionamiento de la plataforma ha sido totalmente satisfactorio". Los participantes en la prueba no comparten esta visión.

INCIBE ha asegurado que “no ha habido reclamaciones por parte de los participantes al concurso“. Las fuentes consultadas dicen lo contrario

Desde el anonimato, por miedo a que no se les deje participar en el concurso el año que viene, varios participantes consultados afirman que la plataforma "algunas veces se quedaba bloqueada e incluso en ocasiones diretamente no funcionaba la infraestructura". Otra fuente señala que "las pruebas estaban bien, pero el manejo desde una VM Kali embutida desde el navegador era terrible, incluído un teclado virtual para caracteres 'especiales' que había que usar".

Otra fuente más asegura que "la infraestructura desplegada tenía sus cosas buenas, pero trajo problemas sobre todo a la hora de introducir carácteres especiales, que en algunos casos teníamos que utilizar un teclado en pantalla. A parte de esto, funcionaba correctamente, aunque a alguno que otro se le quedó congelada la maquina virtual teniendo que reiniciarla". Los adjetivos "excesivo" o "desorbitado" referidos al precio del reto organizado por Indra son comunes entre los participantes. Uno de ellos afirma: "Montar una infraestructura como esta requiere personal y recursos, ya solo en portátiles eran cuarenta; pero aún así todo el mundo vio que era un coste desproporcionado".

Quizás tuvo que ver la poca experiencia de Indra en estas lides. Según el proceso de contratación, Indra ganó frente a dos empresas básicamente por su oferta económico pero, en cambio, fue la que tuvo peor puntuación en el apartado "Experiencia de la plataforma en eventos similares": 2 puntos. Preguntada por su experiencia en estos eventos, Indra ha asegurado lo siguiente: "Durante la licitación del concurso, la Comisión de Contratación solicitó asesoramiento para la comprobación del criterio de valoración y experiencia de la plataforma en eventos similares de todas las ofertas presentadas, concluyendo que las tres ofertas presentadas cumplían con las exigencias de los pliegos".

Sobre la polémica de la calidad del servicio prestado por Inda, el INCIBE ha asegurado a Teknautas que "no ha habido reclamaciones por parte de los participantes al concurso". En cuanto a los costes: "Está todo publicado, se presentaron varios licitadores y se escogió al más económico". Respecto a la comparación con otros CTFs, dicen: "No hay dos concursos iguales, no son comparables".

140 ponentes a 500 euros cada uno

Aunque el precio pagado a Indra ha desatado la indignación, se escuchan quejas también por otros conceptos, siendo la queja general que los precios no son de mercado sino el doble o el triple, según el concepto. Otro ejemplo: las charlas. Mientras el año pasado se pagaron a 300€ brutos, que entonces y ahora es precio de mercado, este año la gran mayoría de los 140 ponentes cobraron sus charlas a 500€, casi el doble que el año pasado, lo que suma 70.000 euros.

Más ejemplos: una "aplicación lúdico educativa para la formación y entrenamiento de niños de 9 a 12 años en los conceptos básicos de uso de las nuevas tecnologías, dispositivos e Internet desde el punto de vista de la privacidad y la ciberseguridad" que posteriormente al evento debía integrarse "en el portal web de INCIBE orientado a menores y familias, para su uso online", pero que no hemos encontrado en dicha web, se pagó su realización a 90.750€ cuando, según expertos consultados, el precio de una 'app' de alta calidad rondaría en el mercado los 30.000€, IVA incluido.

Junto al reto que montó Indra, se organizaron otros concursos de seguridad que, dado el monto menor del presupuesto, fueron escogidos a dedo

Y así, más. Junto al reto que montó Indra, se organizaron otros concursos de seguridad por parte de otras empresas y profesionales individuales que, dado el monto menor del presupuesto, fueron escogidos a dedo. Lorenzo Martínez, de la empresa 'Comunicaciones y seguridad de la información S.L.U', asegura que los 14.520€ (IVA incluído) que cobró por la elaboración de los retos online en forense y exploiting (modalidades de la seguridad informática) no son un presupuesto inflado: "Hablamos de idear, crear e implementar el seguimiento de 30 pruebas, además de documentarlo todo y, en las 10 pruebas de exploiting, hacer maquetas para que los usuarios se conectasen". Además, asegura Martínez, "el precio me lo dieron puesto".

Podríamos seguir, por ejemplo, preguntándonos por qué se pagaron 21.778,79€ por tener un Espacio Oficial Lego en CyberCamp, cuando es hacer publicidad de una marca. O en qué estaría pensando el servicio de seguridad, que cobró 58.080€, mientras gente del público, según han confirmado varios asistentes, se "colaba" en la zona VIP o "se registraba con el nombre de ponentes". O si no es un poco caro pagar 9.075€ a alguien sólo por inaugurar y clausurar un evento. O más de 7.000 por grabar las sesiones formativas.

Según la organización de CyberCamp, el evento dobló asistentes respecto al año pasado, llegando a los 10.000 asistentes y 12.000 en streaming. 22.000 asistentes a repartirse los casi 2 millones de euros que ha costado el evento, sin contar el alquiler del megaespacio, que no aparece en los documentos a disposición del público. Total: 90 euros por persona.

El dato ha escandalizado a muchas empresas y profesionales del sector, asistentes a las múltiples conferencias de seguridad informática que se celebran en España. Estas convenciones no suelen tener más ayuda de INCIBE que una subvención de máximo 6.000 euros, con la obligación de que monten un CTF y un taller de formación, o 3.000 euros si sólo se hace uno de los dos, lo que contrasta fuertemente con el presupuesto de CyberCamp este año. De hecho, sería imposible para las CONs españolas realizar los dichos CTFs y talleres siguiendo los baremos de precios que marca la CyberCamp, pues por 3.000 euros no podría ni montar un reto de universitarios, que INCIBE ha pagado a más de 4.000. Ni siquiera tener servicio médico en el evento.