Dos de sus empleados figuran como sospechosos de hackear datos laborales del Sistema Centralizado de Recaudación (Sicere).
Acostumbrado a salir en noticias del sector financiero, Gerardo Corrales, gerente de BAC San José, ahora tiene que dar la cara ante lo que, supuestamente, cometieron sus subalternos.
Según la Caja, estas dos personas al parecer violaron la seguridad del sistema y sustrajeron más de 522.000 registros laborales del Sicere, que tiene información de 1,7 millones de trabajadores.
El Ministerio Público investiga el caso y en setiembre allanó las instalaciones de la operadora de pensiones del BAC. Por esa razón, Corrales dice no poder referirse a nada más allá de lo que menciona en esta entrevista.
Este texto es un resumen de esa conversación telefónica, del 7 de octubre, casi un mes después de que se solicitó una personal.
¿Siguen suspendidos los dos funcionarios de BAC San José?
Al encontrarse esto en una investigación abierta en el Ministerio Público, nosotros somos respetuosos de la misma y no puedo referirme abiertamente a consultas específicas del caso, pero sí le puedo decir que los funcionarios siguen en suspensión hasta tanto la investigación concluya.
¿Por tiempo indefinido y con goce de salario?
Exactamente, hasta que la investigación se concluya. Sí le puedo asegurar, también contundentemente, que la información no se utilizó ni (para un motivo) comercial, ni para otro fin.
”En todo momento esto ha sido informado, tanto al Ministerio Público, como al Conassif, a la Supén, a la Sugef y a la misma Caja Costarricense de Seguro Social. Hemos estado en contacto con las entidades supervisoras y les hemos dicho que no se ha hecho uso de la información”.
¿Con base en qué puede hacer esas afirmaciones? ¿Qué tipo de investigación interna se realizó para determinar eso y cuáles pruebas tiene de que los datos no fueron utilizados con otros fines?
Nosotros lo que hicimos fue capturar la información que, como hemos dicho, estaba en un servidor. Ese servidor fue encriptado, fue custodiado y también capturamos las computadoras de los dos funcionarios del banco. Después, con una autorización del Ministerio Público, pudimos confirmar que efectivamente no hubo un uso comercial.
¿Esa custodia se dio por parte de funcionarios del mismo grupo financiero o acudieron al Ministerio Público para que ellos se aseguraran de que ustedes no participaran en esa custodia como juez y parte?
Cuando se entra en un proceso penal, uno tiene que actuar con autorización del Ministerio Público. Nosotros cumplimos con entregarle la información al Ministerio Público. Posteriormente, con autorización de ellos, pudimos hacer algunos cruces para confirmar que no hubo uso de la información.
¿Pero esa custodia la realizaron funcionarios independientes, o... ?
... Funcionarios nuestros. Como esto es tecnológico, tenemos especialistas en la materia. Y la entrega se hizo al Ministerio Público en presencia de funcionarios del OIJ (Organismo de Investigación Judicial), la fiscal, la jueza, con especialistas de ellos y nuestros, pues hubo que desencriptar la información para que ellos pudieran hacer las descargas correspondientes.
¿Qué garantía hay sobre la total independencia de estos funcionarios responsables de la custodia de estos contenidos?
Absoluta. Porque son funcionarios de otras áreas y esto se hizo en presencia de abogados que tienen fe pública.
¿Por qué suspendieron a estos dos empleados si ellos estaban realizando actividades propias de sus cargos, como actualizar los sistemas de datos de la operadora de pensiones?
Lo que pasa es que la Caja puso una denuncia penal en contra de ellos. Por recomendación legal procedimos a suspenderlos.
¿Por qué, si el BAC estaba informado de lo sucedido con antelación, suspenden a los dos sospechosos dos días después de que se hace público el caso por la prensa?
Nosotros fuimos notificados formalmente por el Sicere de peticiones de acceso masivas. Nosotros nos enteramos a posteriori con la denuncia penal de que había habido descargas de información. A nosotros no se nos informó que había descargas de información, sino hasta que vimos la denuncia penal.
Uno de los dos sospechosos aparentemente es una persona de su confianza. ¿Lo confirma?
Todos los funcionarios de BAC Credomatic son de confianza. Pero yo preferiría no referirme más a este tema. Van a ser las autoridades, cuando concluyan su investigación, que lleguen a determinar, con independencia, de la relación que haya conmigo o no.
La Superintendencia de Pensiones (Supén) pidió al Sicere verificar si se dio algún uso a los 522.000 registros. ¿Garantiza su Grupo que eso no se dio?
No, no hubo uso comercial de esa información.
¿A qué se refería usted cuando mencionó, en otra entrevista el 2 de setiembre: “tenemos un gran respeto por la Caja y el Sicere. Hoy hay abiertas vías modernas de conciliación. Hubiésemos esperado alguna reunión de máximo nivel para llegar a algún entendimiento”?
Que cuando recibimos la información solo hubo una nota escrita del Sicere. Pedimos una reunión para entender lo que estaba sucediendo. Esa reunión efectivamente se tuvo. Después de esa reunión, fue cuando nos enteramos de que había una denuncia penal.
¿Solo hubo un encuentro de ese tipo?
Una reunión a posteriori de la comunicación formal del Sicere. Por lo menos, a nivel del director del Sicere y del director de Tecnologías de la Información (de la Caja).
¿Querían ustedes tener más información?
Sí, la carta no informó de las descargas de información.
El gerente de la operadora, ¿por qué él no habla?
Él, obviamente, ha estado involucrado en todo este proceso. De hecho, la reunión donde se dio la comunicación con el Sicere, fue él quien la pidió.
”Pero como el tema trasciende a la operadora y se involucra al Banco… Yo soy el vicepresidente del Grupo y hay un protocolo en ese sentido”.
¿Han girado instrucciones al resto de los funcionarios, sobre todo a los de la operadora?
Se han recordado todos los cuidados que hay que tener, y el respeto a la normativa y a las legislaciones correspondientes.
Hasta el momento, ¿solo estos dos empleados han sido suspendidos? ¿No hay ninguna otra medida contra algún otro funcionario de rango superior?
No, no, porque solamente ha habido dos funcionarios denunciados, que son estas dos personas.
¿Han recibido instrucciones o indicaciones de su casa matriz a raíz de este caso?
No.
¿Ha podido conversar con los dos sospechosos?
No quisiera referirme a esto.