¿Qué pasará con la nube pública y cuáles son las advertencias sobre su papel en el manejo de datos del Estado?

La Agencia Nacional de Contratación del Estado anunció que el Acuerdo Marco de Nube Pública culminó el pasado 1° de septiembre. La noticia pasó casi desapercibida en el país, pero lo cierto es que millones de colombianos usan —sin saberlo— la nube todos los días para pedir citas médicas, acceder a subsidios o hacer diferentes trámites en línea.

Suscríbase aquí si le gusta el periodismo independiente. CAMBIO, la verdad siempre

Colombia Compra Eficiente reveló que la terminación del acuerdo se adoptó tras analizar tres prórrogas que permitieron su extensión más allá del plazo previsto inicialmente. En ese sentido, la entidad enfatizó en que la decisión respondería a la necesidad de revisar y ajustar el actual modelo de contratación para garantizar los principios de transparencia, libre concurrencia y competencia.

En junio de este año, la Procuraduría advirtió sobre una serie de inconsistencias que presentaba la licitación para contratar servicios utilizados para almacenar y administrar la infraestructura digital de las entidades del Estado. Según el órgano de control, el proceso contractual presentaba problemas en temas como el marco regulatorio de precios, la idoneidad del proponente y los riesgos estructurales del proyecto.

La Procuraduría Segunda Delegada para la Vigilancia Preventiva de la Función Pública encontró que el proceso de licitación podría incumplir requisitos técnicos clave para el manejo de información sensible. Por eso, Colombia Compra Eficiente decidió acatar las recomendaciones para prevenir fallas en la implementación del servicio.

El nuevo modelo se implementaría debido a que la Agencia Nacional de Contratación del Estado identificó que solo cuatro empresas han facturado en los últimos cuatro años más de 925.000 millones de pesos por sus servicios de nube pública. Sin embargo, la suspensión del acuerdo ha generado incertidumbre sobre la operación en entidades que dependen de estos servicios.

¿Qué es la nube pública en Colombia y para qué sirve?

El experto en ciberseguridad y consultor senior de Riesgos Digitales en Control Risks, Adalberto José Garcia, explicó a CAMBIO que la nube pública es una infraestructura digital compartida que permite a múltiples usuarios almacenar, procesar y acceder a información a través de internet. En términos menos técnicos, es un lugar virtual donde se guardan datos a los que se puede acceder desde dispositivos autorizados y conectados.

“Una nube pública es un modelo de computación en el que proveedores externos ofrecen recursos de tecnologías como servidores, almacenamiento, redes y aplicaciones, a través de internet, estos son compartidos entre múltiples clientes. Funciona bajo un esquema de pago por uso, lo que permite a las organizaciones y clientes escalar recursos según la demanda sin necesidad de adquirir infraestructura física”, explicó García.

En Colombia, entidades como el Ministerio de Defensa, el Instituto de Bienestar Familiar y otras dependencias gubernamentales utilizan la nube pública para gestionar información. En ese sentido, los servicios de este tipo deben implementar controles estrictos de ciberseguridad para proteger datos sensibles y evitar accesos no autorizados.

La nube pública es utilizada cada día para adelantar procesos en los que millones de colombianos en el país hacen trámites en línea, revisan resultados médicos o acceden a servicios gubernamentales desde sus dispositivos. Por eso, García destaca que las plataformas cuentan con mecanismos de seguridad avanzados, como entornos aislados para usos específicos, métodos de cifrado en reposo y en tránsito, controles de identidad y autenticación multifactorial

“Nuestros clientes enfrentan riesgos significativos al operar en entornos de nube pública, especialmente relacionados con la mala configuración de servicios y la gestión inadecuada de accesos, que históricamente han representado amenazas graves. Estos errores pueden derivar en accesos no autorizados, filtraciones de información sensible o incumplimientos normativos”, explicó a CAMBIO el consultor senior de Riesgos Digitales en Control Risks.

El experto consultado también explica que para minimizar riesgos en la nube pública, es clave establecer controles de acceso sólidos con autenticación multifactorial, cifrar la información tanto en reposo como en tránsito y diseñar arquitecturas segmentadas que limiten el movimiento de amenazas. Asimismo, se recomienda adelantar evaluaciones periódicas de vulnerabilidades, actualizaciones constantes y protocolos de respuesta a incidentes.

“Estas incluyen establecer controles de acceso robustos, como autenticación multifactorial y gestión de identidades basada en roles; aplicar cifrado de datos en reposo y en tránsito; y diseñar arquitecturas de seguridad segmentadas que limiten el movimiento lateral de amenazas”, detalla García. 

Las advertencias sobre la posible suspensión de servicios de la nube pública y las garantías de Colombia Compra Eficiente

El exministro de las Tecnologías de la información y la comunicación (TIC), David Luna, advirtió que la suspensión de los procesos de licitación genera incertidumbre sobre el funcionamiento de servicios digitales del Estado a partir de este 2 de septiembre, día en el que finalizó oficialmente la más reciente prórroga del Acuerdo Marco de Nube Pública.

El precandidato presidencial explicó que la falta de claridad sobre los proveedores del servicio podría derivar en problemas para el acceso a trámites en línea, historia clínica y pagos del Estado. En ese sentido, alertó que la ausencia de un plan de continuidad podría afectar la prestación de servicios esenciales.

Proveedores como Google, Microsoft u Oracle están detrás de los servicios ofrecidos a más de 195 entidades públicas que utilizan la nube para almacenar datos, ejecutar aplicaciones y garantizar la disponibilidad de trámites digitales. Por eso, la Procuraduría ha solicitado minimizar al máximo los riesgos advertidos en los procesos de contratación de estos servicios.

La Asociación Nacional de Empresarios de Colombia (ANDI), por su parte, ha alertado por los problemas sobre la seguridad y manejo de la información ante cambios en el ecosistema. De hecho, el gremio aseguró que podría aumentar el riesgo de ataques cibernéticos que comprometerían información crítica del Estado y la seguridad nacional.

En respuesta a los cuestionamientos, Colombia Compra Eficiente explicó que el 91 por ciento de las entidades públicas podrá adelantar acciones administrativas para garantizar la continuidad del servicio en la nube. Asimismo, anunció que las entidades podrán gestionar modificaciones contractuales que se requieran para evitar la suspensión del servicio digital.

La entidad reiteró que el acceso a servicios de almacenamiento y procesamiento de datos permanecerá disponible y contará con las medidas de seguridad exigidas. No obstante, congresistas y expertos del sector insisten en que la falta de un modelo definido podría generar vacíos operativos, afectar la eficiencia de los servicios digitales y exponer a las entidades a mayores riesgos de ciberseguridad.